Întrebare fară răspuns

Spyware pentru Android camuflat ca „Actualizare de Sistem”

Experții companiei de securitate Zimperium au descoperit un nou spyware sofisticat pentru sistemele de operare Android care se maschează ca o aplicație de actualizare de sistem.

 

Programul malware este capabil să colecteze date de sistem, mesaje, imagini, etc de pe dispozitivele Android infectate si ofera atacatorilor posibilitatea de a accesa microfonul si camera, de a efectua apeluri, să revizuiască istoricul browserului, să acceseze mesaje WhatsApp și multe altele.

 

"Aplicația malitioasa „Actualizare sistem” a fost identificată de cercetătorii zLabs care au observat că o aplicație Android a fost detectată de motorul malware Z9 care alimentează detectarea zIPS pe dispozitiv. În urma unei investigații, am descoperit că este o campanie sofisticată de programe spion cu capacități complexe.” afirmă analiza publicată de Zimperium.

„Aplicația mobilă reprezintă o amenințare pentru dispozitivele Android, funcționând ca un troian de acces la distanță (RAT) care primește și execută comenzi pentru a colecta și exfiltra o gamă largă de date și pentru a efectua o gamă largă de acțiuni rău intenționate.”

 

Experții au împărtășit concluziile lor cu Google, ceea ce a confirmat că aplicația rău intenționată nu a fost niciodată încărcată pe Google Play.

 

Odată descărcată aplicația rău intenționată dintr-o sursa externa, spyware-ul se instaleaza pe dispozitivul tinta si va functiona cu un server Firebase de comandă și control (C2) oferind atacatorului informatii prezența WhatsApp, procentul bateriei și statisticile de stocare. Programul malware extrage date de pe dipozitivul infectat si le arhiveaza intr-un fisier ZIP criptat si le trimite atacatorului.

 

Actiunile programului spyware sunt declanșate în circumstanțe diferite, incluzand dar fara a se limita la crearea unui nou contact, atunci când este primit un nou SMS, sau o nouă aplicație este instalată de către victima. Practic orice actiune intreprinde victima pe dispozitivul infectat, aceasta actiune este inregistrata si trimisa catre atacator.

 

Programul malware primește comenzi prin intermediul serviciului de mesagerie Firebase pentru a începe acțiuni precum acces la microfon si inregistrare audio. Datele furate sunt exfiltrate într-un C2 dedicat prin cerere POST.

 

Pentru a evita detectarea și a nu lăsa urme, spyware-ul Android șterge orice fișier exfiltrat imediat ce primește un răspuns de „succes” de la C2 și, de asemenea, reduce semnificativ consumul de lățime de bandă.

 

„Programul spion este capabil să efectueze o gamă largă de activități dăunătoare pentru a spiona victima în timp ce se prezintă ca o aplicație„ Actualizare sistem ”.” încheie raportul.

„Prezintă o caracteristică rar văzută înainte, furând miniaturi de videoclipuri și imagini, pe lângă utilizarea unei combinații de Firebase și a unui server dedicat Command & Control pentru primirea comenzilor și exfiltrarea datelor.”

 

Cercetătorii au distribuit, de asemenea, Indicatori de compromis (IoC) pentru această amenințare.

Sursa - https://securityaffairs.co/wordpress/116016/malware/andro...

  • Răspunde
  • Distribuie această întrebare

Răspunsuri

foate buna "ideia" hackerilor : actualizare sistem .. ce nu se prezinta in articol este cum si de unde il procuram :)) ca de instalat chestii pe telefon suntem campioni :)
un "programel" spion care pare fi "scapat" din laboratoarele de spionaj renumite (usa,china,india sau rusia)

mihai_13
mihai_13

mihai_13

User level
Nivel
3
4878 / 5000
puncte
Custom field 2
mihai_13

Salut! Am observat că petreci timp în Comunitatea Orange, dar nu te-ai înscris încă.
Dacă te inscrii și devii membru, poți adresa întrebări în comunitate, poți să ajuți și tu alți membri și poți câștiga puncte, badge-uri și să te bucuri de multe alte beneficii!