Android: Kακόβουλο λογισμικό σας κατασκοπεύει ενώ παρουσιάζεται ως ενημέρωση συστήματος
Το νέο κακόβουλο λογισμικό με εκτεταμένες δυνατότητες spyware κλέβει δεδομένα από μολυσμένες συσκευές Android και έχει σχεδιαστεί για αυτόματη ενεργοποίηση κάθε φορά που διαβάζονται νέες πληροφορίες για εξαγωγή.
Το λογισμικό υποκλοπής spyware μπορεί να εγκατασταθεί μόνο ως εφαρμογή «Ενημέρωση συστήματος» μέσω τρίτων καταστημάτων εφαρμογών Android, καθώς δεν ήταν ποτέ διαθέσιμο στο Play Store της Google. Αυτό περιορίζει δραστικά τον αριθμό των συσκευών που μπορεί να μολύνει, δεδομένου ότι οι πιο έμπειροι χρήστες πιθανότατα θα αποφύγουν την εγκατάστασή τους κατά πρώτο λόγο.
Το κακόβουλο λογισμικό δεν διαθέτει επίσης μια μέθοδο μόλυνσης άλλων συσκευών Android από μόνο του, προσθέτοντας στις περιορισμένες δυνατότητές του. Ωστόσο, όταν πρόκειται για κλοπή των δεδομένων σας, αυτό το trojan απομακρυσμένης πρόσβασης (RAT) μπορεί να συλλέξει και να εκτελέσει μια εκτεταμένη σειρά πληροφοριών στον διακομιστή εντολών και ελέγχου.
Οι ερευνητές του Zimperium που το εντόπισαν το παρατήρησαν ενώ «κλέβουν δεδομένα, μηνύματα, εικόνες και παίρνουν τον έλεγχο των τηλεφώνων Android».
"Μόλις έχουν τον έλεγχο, οι χάκερ μπορούν να εγγράψουν ήχους και τηλεφωνικές κλήσεις, να τραβήξουν φωτογραφίες, να ελέγξουν το ιστορικό του προγράμματος περιήγησης, να αποκτήσουν πρόσβαση σε μηνύματα WhatsApp και άλλα", πρόσθεσαν.
Η Zimperium είπε ότι το ευρύ φάσμα των δυνατοτήτων κλοπής δεδομένων περιλαμβάνει:
- Κλοπή μηνυμάτων άμεσων μηνυμάτων.
- Κλοπή αρχείων βάσης δεδομένων άμεσων μηνυμάτων (εάν υπάρχει root)
- Επιθεώρηση των προεπιλεγμένων σελιδοδεικτών και αναζητήσεων του προγράμματος περιήγησης.
- Έλεγχος του σελιδοδείκτη και του ιστορικού αναζήτησης από το Google Chrome, το Mozilla Firefox και το Samsung Internet Browser.
- Αναζήτηση αρχείων με συγκεκριμένες επεκτάσεις (συμπεριλαμβανομένων .pdf, .doc, .docx και .xls, .xlsx);
- Επιθεώρηση των δεδομένων του πρόχειρου.
- Επιθεώρηση του περιεχομένου των κοινοποιήσεων ·
- Εγγραφή ήχου;
- Καταγραφή τηλεφωνικών κλήσεων
- Περιοδικά τραβάτε φωτογραφίες (είτε μέσω της μπροστινής είτε της πίσω κάμερας).
- Λίστα των εγκατεστημένων εφαρμογών.
- Κλοπή εικόνων και βίντεο.
- Παρακολούθηση της θέσης GPS.
- Κλοπή μηνυμάτων SMS;
- Κλοπή επαφών τηλεφώνου;
- Κλοπή αρχείων καταγραφής κλήσεων;
- Πληροφορίες για τη διεκπεραίωση συσκευών (π.χ. εγκατεστημένες εφαρμογές, όνομα συσκευής, στατιστικά αποθήκευσης).
Μόλις εγκατασταθεί σε μια συσκευή Android, το κακόβουλο λογισμικό θα στείλει πολλά κομμάτια πληροφοριών στον διακομιστή εντολών και ελέγχου (C2) του Firebase, συμπεριλαμβανομένων των στατιστικών αποθήκευσης, του τύπου σύνδεσης στο Διαδίκτυο και της παρουσίας διαφόρων εφαρμογών όπως το WhatsApp.
Το λογισμικό υποκλοπής συλλέγει δεδομένα απευθείας εάν έχει πρόσβαση root ή θα χρησιμοποιεί τις Υπηρεσίες προσβασιμότητας αφού εξαπατήσει τα θύματα να ενεργοποιήσουν τη λειτουργία στη συσκευή που έχει παραβιαστεί.
Θα σαρώσει επίσης τον εξωτερικό χώρο αποθήκευσης για τυχόν αποθηκευμένα ή προσωρινά αποθηκευμένα δεδομένα, θα το συλλέξει και θα το παραδώσει στους διακομιστές C2 όταν ο χρήστης συνδεθεί σε δίκτυο Wi-Fi.
Σε αντίθεση με άλλα κακόβουλα προγράμματα που έχουν σχεδιαστεί για να κλέβουν δεδομένα, αυτό θα ενεργοποιηθεί με τη χρήση περιεχομένου Android Παρατηρητές και δέκτες Broadcast μόνο όταν πληρούνται ορισμένες προϋποθέσεις, όπως η προσθήκη νέας επαφής, νέων μηνυμάτων κειμένου ή νέων εφαρμογών που εγκαθίστανται.
"Οι εντολές που λαμβάνονται μέσω της υπηρεσίας ανταλλαγής μηνυμάτων Firebase ξεκινούν ενέργειες όπως η εγγραφή ήχου από το μικρόφωνο και η απομάκρυνση δεδομένων όπως μηνύματα SMS", δήλωσε ο Zimperium.
"Η επικοινωνία Firebase χρησιμοποιείται μόνο για την έκδοση των εντολών και ένας αποκλειστικός διακομιστής C&C χρησιμοποιείται για τη συλλογή των κλεμμένων δεδομένων χρησιμοποιώντας ένα αίτημα POST."
Το κακόβουλο λογισμικό θα εμφανίζει επίσης ψεύτικες ειδοποιήσεις ενημέρωσης συστήματος "Αναζήτηση για ενημέρωση .." όταν λαμβάνει νέες εντολές από τους κύριους για να αποκρύπτει την κακόβουλη δραστηριότητά του.
Το λογισμικό υποκλοπής κρύβει επίσης την παρουσία του σε μολυσμένες συσκευές Android αποκρύπτοντας το εικονίδιο από το συρτάρι / μενού.
Για να αποφύγει περαιτέρω την ανίχνευση, θα κλέψει μόνο μικρογραφίες βίντεο και εικόνων που βρίσκει, μειώνοντας έτσι την κατανάλωση εύρους ζώνης των θυμάτων για να αποφύγει την προσοχή τους στη δραστηριότητα απομάκρυνσης δεδομένων στο παρασκήνιο.
Σε αντίθεση με άλλα κακόβουλα προγράμματα που συλλέγουν δεδομένα μαζικά, αυτό θα διασφαλίσει επίσης ότι θα διεισδύει μόνο στα πιο πρόσφατα δεδομένα, συλλέγοντας δεδομένα τοποθεσίας που δημιουργήθηκαν και φωτογραφίες που τραβήχτηκαν τα τελευταία λεπτά.
[via]