Ένα νέο Android Trojan που ανιχνεύεται ως Android/Spy.Agent.SI στοχεύει χρήστες με σκοπό την κλοπή των τραπεζικών και των Google διαπιστευτηρίων τους.
Ερευνητές ασφαλείας από την ESET λένε ότι το trojan διανέμεται μέσω των ιστοσελίδων που διαφημίζουν μια έκδοση του Flash Player για συσκευές Android. Η Adobe σταμάτησε επίσημα την ανάπτυξη Flash client για το Android, το 2012, έτσι αυτό είναι ένα προφανές τέχνασμα για να ξεγελάσουν τους χρήστες να εγκαταστήσουν ένα επικίνδυνο APK στο σύστημά τους.
Μετά τη λήψη και κατά την εγκατάσταση, το trojan θα ζητήσει δικαιώματα διαχειριστή. Δίνοντάς του δικαιώματα διαχειριστή όχι μόνο γίνεται πολύ πιο δύσκολο να το αφαιρέσετε αργότερα, αλλά επιπλέον παρέχεται στο trojan η πρόσβαση που χρειάζεται για να πραγματοποιεί επιθέσεις ανενόχλητο.
Αφού ολοκληρωθεί η διαδικασία εγκατάστασης, το trojan θα συμπεριφέρεται όπως και τα περισσότερα τραπεζικά trojans σήμερα. Θα συλλέγει πρώτα μια λίστα με πληροφορίες για τη συσκευή του χρήστη και στη συνέχεια θα τις αποστέλλει σε έναν C&C εξυπηρετητή.
Ενώ σε προηγούμενες εκδόσεις αυτό γινόταν μέσω μιας base64 κωδικοποίησης, με το πέρασμα του καιρού, το trojan άρχισε να χρησιμοποιεί καλύτερη κρυπτογράφηση και απόκρυψη.
Μόλις καθιερωθεί η σύνδεση μεταξύ της μολυσμένης συσκευής και του C&C, ο διακομιστής θα στείλει μια λίστα με τις εφαρμογές θα πρέπει να γίνουν inject ως ψεύτικες σελίδες σύνδεσης.
Αυτές κάνουν overlay πάνω από την αρχική εφαρμογή, κάθε φορά που ο χρήστης την ξεκινά και συλλέγει πληροφορίες σύνδεσης και τις αποστέλλει στον C&C εξυπηρετητή. Επειδή το trojan αποτυγχάνει να κρυπτογραφήσει κλεμμένα διαπιστευτήρια, υπάρχει ένας επιπλέον κίνδυνος για τους μολυσμένους χρήστες επειδή αυτά τα τραπεζικά και Google διαπιστευτήρια στέλνονται μέσω ενός απλού κειμένου.
Η ESET λέει ότι μέχρι τώρα το trojan έχει ως στόχο του οικονομικές εφαρμογές για τις τράπεζες στην Αυστραλία, τη Νέα Ζηλανδία και την Τουρκία. Το Android/Spy.Agent.SI διαθέτει επίσης τη δυνατότητα να υποκλέψει και μηνύματα SMS, σε περίπτωση που η πλαστογραφημένη εφαρμογή έρχεται με 2FA (προστασία δύο παραγόντων).
Η ESET παρέχει οδηγίες για το πώς να απεγκαταστήσετε το trojan, μαζί με τον πλήρη κατάλογο των τραπεζών που στοχεύει το trojan και τις ιστοσελίδες από όπου το ψεύτικο Adobe Flash για Android έχει βρεθεί διαθέσιμο για κατέβασμα.
