ΑρχικήsecurityAndroid malware: Νέο spyware έχει πρόσβαση σε πολλά δεδομένα

Android malware: Νέο spyware έχει πρόσβαση σε πολλά δεδομένα

Ερευνητές ασφαλείας ανακάλυψαν ένα νέο Android malware (spyware), το οποίο φαίνεται να χρησιμοποιεί την ίδια shared-hosting υποδομή που είχε προηγουμένως χρησιμοποιηθεί από τη ρωσική APT ομάδα Turla. Ωστόσο, το malware δεν έχει συνδεθεί ακόμα με τη hacking ομάδα.

Android spyware malware

Η Turla είναι μια hacking ομάδα που υποστηρίζεται από τη ρωσική κυβέρνηση και ασχολείται κυρίως με την πραγματοποίηση εκστρατειών κυβερνοκατασκοπείας. Η ομάδα χρησιμοποιεί συχνά custom malware για τη στόχευση ευρωπαϊκών και αμερικανικών συστημάτων.

Δείτε επίσης: Borat malware: Νέο RAT επιτρέπει DDoS και ransomware επιθέσεις

Νέο Android spyware;

Ερευνητές από το Lab52 εντόπισαν ένα κακόβουλο APK [VirusTotal] με την ονομασία «Process Manager», το οποίο λειτουργεί σαν Android spyware.

Οι ερευνητές δεν έχουν ανακαλύψει ακόμα τον τρόπο διανομής του Android malware. Ωστόσο, μετά την εγκατάστασή του επιχειρεί να κρυφτεί σε μια συσκευή Android χρησιμοποιώντας ένα εικονίδιο σε σχήμα γραναζιού. Έτσι προσπαθεί να εξαπατήσει το χρήστη και να φανεί σαν στοιχείο συστήματος (Ρυθμίσεις).

Η ανάλυση έδειξε, ότι κατά την πρώτη εκκίνηση, η εφαρμογή ζητά από τον χρήστη να της επιτρέψει να χρησιμοποιήσει τις ακόλουθες άδειες:

  • Πρόσβαση σε coarse location
  • Πρόσβαση σε fine location
  • Πρόσβαση στην κατάσταση δικτύου
  • Πρόσβαση στην κατάσταση WiFi
  • Πρόσβαση στην Camera
  • Foreground service
  • Διαδίκτυο
  • Τροποποίηση ρυθμίσεων ήχου
  • Πρόσβαση σε αρχεία καταγραφής κλήσεων
  • Πρόσβαση στις επαφές
  • Πρόσβαση στον εξωτερικό χώρο αποθήκευσης
  • Ανάγνωση κατάστασης τηλεφώνου
  • Ανάγνωση SMS
  • Αποστολή SMS
  • Εγγραφή ήχου
  • και άλλα.

Όπως μπορεί να αντιληφθεί κανείς, η πρόσβαση σε όλα αυτά τα δεδομένα μπορεί να αποτελέσει σοβαρό κίνδυνο για το απόρρητο των χρηστών.

Επίσης, δεν είναι σαφές εάν το Android spyware κάνει κατάχρηση της υπηρεσίας Android Accessibility για να αποκτήσει άδειες ή αν εξαπατά τον χρήστη για να εγκρίνει ένα αίτημα.

Δείτε επίσης: BlackGuard info-stealing malware: Όσα γνωρίζουμε για τη νέα απειλή

Αφού λάβει τις άδειες, το Android malware αφαιρεί το εικονίδιό του από τη συσκευή του θύματος και εκτελείται στο παρασκήνιο. Μόνο μια ειδοποίηση δείχνει την παρουσία του. Αυτό είναι περίεργο για ένα spyware που συνήθως προσπαθεί να παραμείνει κρυφό από το θύμα.

Οι πληροφορίες που συλλέγει το Android malware, χάρη στις παραπάνω άδειες, αποστέλλονται σε JSON format στον command and control server στο 82.146.35[.]240, ο οποίος βρίσκεται στη Ρωσία.

Κατά την ανάλυση της εφαρμογής, η ομάδα Lab52 διαπίστωσε ότι το Android spyware κατεβάζει επιπλέον payloads στη συσκευή. Μάλιστα μια εφαρμογή ελήφθη απευθείας από το Play Store. Η εφαρμογή ονομάζεται "Roz Dhan: Earn Wallet cash" και είναι πολύ δημοφιλής (10.000.000 λήψεις).

Το spyware φέρεται να κατεβάζει το APK μέσω του referral system της εφαρμογής με σκοπό το κέρδος (οικονομικό). Αυτό, σε συνδυασμό με τη φαινομενικά απλοϊκή εφαρμογή και τις χαμηλής πολυπλοκότητας δυνατότητες του Android spyware, κάνει τους ερευνητές να πιστεύουν ότι δεν είναι έργο μιας APT ομάδας, όπως η Turla.

«Έτσι, σε αυτήν την αναφορά, θέλουμε να μοιραστούμε την ανάλυσή μας σχετικά με τις δυνατότητες αυτού του malware, αν και η απόδοση στην Turla δεν φαίνεται πιθανή λόγω των δυνατοτήτων του», εξηγούν οι ερευνητές του Lab52.

Προστασία από Android malware

Όπως έχουμε πει πολλές φορές, οι χρήστες μπορούν να προστατευτούν αποφεύγοντας τη λήψη προγραμμάτων και εφαρμογών από μη αξιόπιστες πηγές. Επίσης, πρέπει να αποφεύγεται η λήψη εφαρμογών που ζητούν πολλές άδειες.

Δείτε επίσης: Android trojan έχει περάσει στο Play Store και κλέβει Facebook credentials

Τα Android malware είναι να μια πολύ συχνή απειλή και διανέμονται με διάφορους τρόπους: phishing, κακόβουλες εφαρμογές που παρακάμπτουν τους ελέγχους του Play Store κλπ. Για παράδειγμα, τον προηγούμενο μήνα αποκαλύφθηκε ένα νέο κακόβουλο λογισμικό, γνωστό ως Xenomorph. Η διανομή γινόταν μέσω του Google Play Store και το Φεβρουάριο είχε μολύνει περισσότερες από 50.000 συσκευές Android για να κλέψει τραπεζικές πληροφορίες.

Πηγή: Bleeping Computer

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS