Οι ερευνητές ασφαλείας έχουν ανακαλύψει και αναλύσει ένα νέο στέλεχος Android malware που συνοδεύεται από ένα ευρύ φάσμα δυνατοτήτων που του επιτρέπουν να κλέψει credentials από 226 εφαρμογές. Με την ονομασία Alien, αυτό το νέο trojan είναι ενεργό από την αρχή του έτους και προσφέρεται ως Malware-as-a-Service (MaaS) σε υπόγεια hacking forums.
Σε μια αναφορά που κοινοποιήθηκε αυτήν την εβδομάδα στο ZDNet, οι ερευνητές ασφαλείας της ThreatFabric έψαξαν στις δημοσιεύσεις στα φόρουμ και στα δείγματα του Alien για να κατανοήσουν την εξέλιξη, τα κόλπα και τις δυνατότητες του malware.
Σύμφωνα με τους ερευνητές, το Alien δεν είναι πραγματικά ένα νέο κομμάτι κώδικα, αλλά βασίστηκε στην πραγματικότητα στον πηγαίο κώδικα ενός αντίπαλου malware που ονομάζεται Cerberus.
Το Cerberus, ενώ ήταν ενεργό MaaS πέρυσι, κατέρρευσε φέτος, με τον ιδιοκτήτη της να προσπαθεί να πουλήσει το codebase και το customerbase, πριν τελικά το προσφέρει δωρεάν σε ένα hacking φόρουμ.
Η ThreatFabric λέει ότι το Cerberus πέθανε επειδή η ομάδα ασφαλείας της Google βρήκε έναν τρόπο να εντοπίζει και να καθαρίζει τις μολυσμένες συσκευές. Αλλά ακόμα κι αν το Alien βασίστηκε σε μια παλαιότερη έκδοση του Cerberus, δεν φαίνεται να έχει αυτό το πρόβλημα.
Και οι ερευνητές λένε ότι το Alien είναι ακόμα πιο προχωρημένο από το Cerberus που ήταν ένα αρκετά αξιόπιστο και επικίνδυνο trojan.
Η ThreatFabric αναφέρει ότι το Alien είναι μέρος μιας νέας γενιάς Android τραπεζικών trojan που έχουν ενσωματώσει διάφορες δυνατότητες απομακρυσμένης πρόσβασης στις βάσεις τους.
Αυτό καθιστά το Alien πολύ επικίνδυνο. Το Alien όχι μόνο μπορεί να εμφανίζει ψεύτικες οθόνες σύνδεσης και να συλλέγει κωδικούς πρόσβασης για διάφορες εφαρμογές και υπηρεσίες, αλλά μπορεί επίσης να δώσει πρόσβαση στους εισβολείς σε συσκευές για να χρησιμοποιούν τα εν λόγω credentials ή ακόμη και να εκτελούν άλλες ενέργειες.
Επί του παρόντος, σύμφωνα με την ThreatFabric, το Alien διαθέτει τις ακόλουθες δυνατότητες:
- Δυνατότητα επικάλυψης περιεχομένου πάνω από άλλες εφαρμογές (λειτουργία που χρησιμοποιείται στο phishing για credentials)
- Εισάγει ένα input πληκτρολογίου
- Παρέχει απομακρυσμένη πρόσβαση σε μια συσκευή μετά την εγκατάσταση του TeamViewer
- Συλλέγει, στέλνει ή προωθεί μηνύματα SMS
- Κλέβει την λίστα επαφών
- Συλλέγει λεπτομέρειες για τις συσκευές
- Συλλέγει δεδομένα γεωγραφικής τοποθεσίας
- Κάνει αιτήματα USSD
- Προωθεί κλήσεις
- Εγκαθιστά και κάνει εκκίνηση εφαρμογών
- Κάνει εκκίνηση των προγραμμάτων περιήγησης στις επιθυμητές σελίδες
- Κλειδώνει την οθόνη για μια λειτουργία τύπου ransomware
- Κλέβει κωδικούς 2FA που δημιουργούνται από εφαρμογές ελέγχου ταυτότητας
Αυτό είναι ένα εντυπωσιακό σύνολο χαρακτηριστικών. Κατά τη διάρκεια της ανάλυσής του, οι ερευνητές δήλωσαν ότι διαπίστωσαν ότι το Alien είχε υποστήριξη για εμφάνιση ψεύτικων σελίδων σύνδεσης για 226 εφαρμογές Android (μπορείτε να δείτε την πλήρη λίστα στην έκθεση της ThreatFabric).
Οι περισσότερες από αυτές τις ψεύτικες σελίδες σύνδεσης στοχεύουν να κλέψουν τα credentials των e-banking apps, υποστηρίζοντας σαφώς την εκτίμησή της ThreatFabric ότι το Alien προοριζόταν για τέτοιου τύπου απάτες.
Οι περισσότερες από τις τραπεζικές εφαρμογές που στοχεύθηκαν ήταν για χρηματοπιστωτικά ιδρύματα που εδρεύουν κυρίως στην Ισπανία, την Τουρκία, τη Γερμανία, τις ΗΠΑ, την Ιταλία, τη Γαλλία, την Πολωνία, την Αυστραλία και το Ηνωμένο Βασίλειο.
Η ThreatFabric δεν περιείχε λεπτομέρειες σχετικά με το πώς το Alien μπαίνει στις συσκευές των χρηστών, κυρίως επειδή αυτό διαφέρει ανάλογα με το πώς οι πελάτες του Alien MaaS επέλεξαν να το διανείμουν.
Ορισμένες εφαρμογές που έχουν μολυνθεί από το κακόβουλο λογισμικό βρίσκονται στο Play Store, αλλά τις περισσότερες φορές διανέμονται μέσω άλλων καναλιών.
Αυτές οι κακόβουλες εφαρμογές μπορούν εύκολα να εντοπιστούν, καθώς συχνά απαιτούν από τους χρήστες να τους παραχωρήσουν πρόσβαση στα δικαιώματα του διαχειριστή.
Αν και είναι μια αυτονόητη συμβουλή, εμείς οφείλουμε να την αναφέρουμε “μην εγκαταστήσετε εφαρμογές από περίεργους ιστότοπους και μην τους παραχωρείτε τα δικαιώματα διαχειριστή”. Μπορεί σε μερικούς να ακούγεται απλό, αλλά δεν έχουν όλοι οι χρήστες την ικανότητα ή τις γνώσεις να αντιληφθούν ότι κάποιες εφαρμογές είναι κακόβουλες.
 σε υπόγεια){kind=link}