Ερευνητές ασφαλείας ανακάλυψαν ένα κακόβουλο Android Trojan με την κωδική ονομασία Android / Trojan.Pawost που βρίσκεται ενσωματωμένο μέσα σε μια εφαρμογή χρονόμετρο, αλλά χρησιμοποιεί το Google Talk για να αρχίσει τα τηλεφωνήματα σε μη εγγεγραμμένους αριθμούς.
Το Pawost αρχίζει την κακόβουλη συμπεριφορά του μόλις οι χρήστες το εγκαταστήσουν. Μόλις συμβεί αυτό, η εφαρμογή εμφανίζει ένα εικονίδιο Google Talk στην περιοχή ειδοποιήσεων του smartphone. Δεν υπάρχει κείμενο σ’ αυτό το εικονίδιο και οι ενημερώσεις είναι ένα νεκρό giveaway ότι κάτι είναι λάθος και θα πρέπει να απεγκαταστήσετε την εφαρμογή, το συντομότερο δυνατόν.
Λίγα λεπτά αργότερα, η εφαρμογή θα ξεκινήσει την πραγματοποίηση κλήσεων σε διάφορους άγνωστους αριθμούς, χρησιμοποιώντας την εφαρμογή Google Talk.
Ενώ το Pawost κάνει αυτές τις κλήσεις, η οθόνη του τηλεφώνου είναι απενεργοποιημένη, αλλά η CPU είναι ενεργή και δουλεύει.
Το μυστήριο γύρω από αυτά τα τηλεφωνήματα είναι ότι δεν γίνονται σε έναν έγκυρο αριθμό. Όλα ξεκινούν με το ίδιο συνεχές: 1-259.
Προσθέτοντας στην αρχή το διεθνές πρόθεμα +1 των ΗΠΑ δεν συνδέεται με κανέναν έγκυρο αριθμό. Ο κωδικός της περιοχής 259 δεν έχει εκχωρηθεί στις ΗΠΑ, οπότε σίγουρα, η καμπάνια δεν στοχεύει χρήστες των ΗΠΑ.
Από τη στιγμή που το Pawost ήταν συνδυασμένο με μια Android εφαρμογή με μια κινεζική διεπαφή, οι ερευνητές της Malwarebytes προσπάθησαν να προσθέσουν και το διεθνές πρόθεμα +86 της Κίνας.
Τα δοκιμαστικά τους τηλεφωνήματα συνδέονταν με έγκυρους αριθμούς, αλλά όλα έδειχναν ότι μιλούσαν. Σε αυτό το σημείο, ήταν σαφές ότι η εφαρμογή στόχευε Κινέζους χρήστες.
Οι ερευνητές ασφάλειας έριξαν μια πιο προσεκτική ματιά στο Pawost malware και είπαν ότι εκτός από την πραγματοποίηση αυτών των παράνομων κλήσεων, η εφαρμογή έχει και δυνατότητες spyware.
Το κακόβουλο λογισμικό μπορεί να συλλέξει δεδομένα, όπως κωδικούς IMSI, IMEI αριθμούς, αναγνωριστικά CCID, αριθμούς τηλεφώνου, λεπτομέρειες έκδοσης του τηλεφώνου, καθώς και μια λίστα με εφαρμογές που έχουν εγκατασταθεί στη συσκευή.
Το Pawost παίρνει αυτά τα δεδομένα, τα κρυπτογραφεί και τα στέλνει σε έναν απομακρυσμένο server. Επιπλέον, το trojan μπορεί να στείλει μηνύματα SMS και να κάνει φραγή των εισερχόμενων SMSμηνυμάτων . Η Malwarebytes είπε ότι βρήκε αυτή την τελευταία λειτουργικότητα στον Pawost decompiled πηγαίο κώδικα, αλλά ποτέ δεν παρατηρήθηκε στις δοκιμές τους.
Ότι και αν είναι αυτό, είναι βέβαιο ότι βρίσκεται στα αρχικά της στάδια της ανάπτυξης. Από ότι φαίνεται, το Pawost έχει οριστεί να γίνει ένα Android trojan που μολύνει Κινέζους χρήστες και στη συνέχεια να κάνει κλήσεις ή να στέλνει μηνύματα SMS σε premium αριθμούς τηλεφώνου, βοηθώντας τους απατεώνες πίσω από αυτό το malware να κερδίσουν χρήματα μέσω affiliate προγραμμάτων.
