Το malware για Android χρησιμοποιεί παλιές τεχνικές, αλλά νέα τρικ!
Ένα ύπουλο Android malware μεταμφιέζεται σε αρχείο Microsoft Word για να ξεγελάσει τους χρήστες να το ανοίξουν και να πυροδοτήσουν τον κακόβουλο κώδικα.
Η εφαρμογή μιμείται την πρώιμη κακόβουλη περίδο των Windows, χρησιμοποιώντας έκα κοινό και αρκετά γνωστό file icon, ώστε να ξεγελάσει τους χρήστες κάνοντάς τους να πιστεύουν ότι είναι ασφαλές ν’αλληλεπιδράσουν μ’ αυτό.
Ως συνήθως, το κακόβουλο λογισμικό φτάνει στο τηλέφωνο όταν ο χρήστες εγκαταστήσει εφαρμογές από ανεπίσημες πηγές. Εάν ο χρήστης είναι απρόσεκτος και πατήσει σε ένα αρχείο Word που εμφανίζεται από το πουθενά στην οθόνη του, τότε το malware τον κάνει να πιστέψει πως δεν έχει συμβεί τίποτα εμφανίζοντας ένα μήνυμα error που αναφέρει ότι η εγκατάσταση δεν έχει ολοκληρωθεί:“Installation errors, this software is not compatible with the phone.”
Ενώ εμφανίζεται αυτό το error pop-up, το malware προχωρά συγκαλυμμένο στην βρώμικη δουλειά του, ξεκινώντας κάποιες κρυφές λειτουργίες που θα μπορούσαν να του επιτρέψουν να αξιοποιήσει διάφορα data repos του τηλεφώνου, να αποσπάσει πληροφορίες και να ελέγξει τα SMS αλλά και λειτουργίες e-mail.
Τo malware είναι στην πραγματικότητα ένα Android infostealer, που αποφιλτράρει μηνύματα SMS και λίστες επαφών. Ερευνητές της Zscaler ανέλυσαν τον πηγαίο κώδικα του και εντόπισαν ότι το κακόβουλο λογισμικό έρχεται hardcoded με ένα αριθμό τηλεφώνου στον οποίο αποστέλλεται ένα SMS με το IMEI code του κινητού.
Επιπλέον, εντοπίστηκε και μια διεύθυνση e-mail μαζί με το password της, όπου το κακόβουλο λογισμικό αποστέλλει e-mail με την λίστα επαφών και τα μηνύματα SMS του χρήστη-θύμα.
Αποκτώντας πρόσβαση σε αυτό τον λογαριασμό email, οι ερευνητές της Zscaler διαπίστωσαν ότι γύρω στα 300+ θύματα είχαν μολυνθεί και είχαν κλαπεί τα στοιχεία τους. Τα πρώτα μηνύματα ηλεκτρονικού ταχυδρομείου πήγαιναν πίσω στις 10 Οκτωβρίου του τρέχοντος έτους. Επίσης συμπεριλαμβάνεται μια πρόσθετη λειτουργία κλήσεων. Όταν οι επιτιθέμενοι αποστέλλουν ένα ειδικά διαμορφωμένο SMS στο κινητό του θύματος, το κακόβουλο λογισμικό το λαμβάνει και πραγματοποιεί μια κλήση σε ένα νούμερο που περιέχεται στο SMS. Αυτό το χαρακτηριστικό μπορεί να χρησιμοποιηθεί για κατασκοπεία σε πραγματικό χρόνο.
Επειδή η εφαρμογή ζητά δικαιώματα διαχειριστή όταν εγκαθίσταται, οι χρήστες μπορούν να την αφαιρέσουν αν εκκινήσουν το τηλέφωνό τους σε safe mode, απενεργοποιήσουν την εφαρμογή από τις ρυθμίσεις και στην συνέχεια την απεγκαταστήσουν.
