la 05-04-2021 11:05 AM
Experții companiei de securitate Zimperium au descoperit un nou spyware sofisticat pentru sistemele de operare Android care se maschează ca o aplicație de actualizare de sistem.
Programul malware este capabil să colecteze date de sistem, mesaje, imagini, etc de pe dispozitivele Android infectate si ofera atacatorilor posibilitatea de a accesa microfonul si camera, de a efectua apeluri, să revizuiască istoricul browserului, să acceseze mesaje WhatsApp și multe altele.
"Aplicația malitioasa „Actualizare sistem” a fost identificată de cercetătorii zLabs care au observat că o aplicație Android a fost detectată de motorul malware Z9 care alimentează detectarea zIPS pe dispozitiv. În urma unei investigații, am descoperit că este o campanie sofisticată de programe spion cu capacități complexe.” afirmă analiza publicată de Zimperium.
„Aplicația mobilă reprezintă o amenințare pentru dispozitivele Android, funcționând ca un troian de acces la distanță (RAT) care primește și execută comenzi pentru a colecta și exfiltra o gamă largă de date și pentru a efectua o gamă largă de acțiuni rău intenționate.”
Experții au împărtășit concluziile lor cu Google, ceea ce a confirmat că aplicația rău intenționată nu a fost niciodată încărcată pe Google Play.
Odată descărcată aplicația rău intenționată dintr-o sursa externa, spyware-ul se instaleaza pe dispozitivul tinta si va functiona cu un server Firebase de comandă și control (C2) oferind atacatorului informatii prezența WhatsApp, procentul bateriei și statisticile de stocare. Programul malware extrage date de pe dipozitivul infectat si le arhiveaza intr-un fisier ZIP criptat si le trimite atacatorului.
Actiunile programului spyware sunt declanșate în circumstanțe diferite, incluzand dar fara a se limita la crearea unui nou contact, atunci când este primit un nou SMS, sau o nouă aplicație este instalată de către victima. Practic orice actiune intreprinde victima pe dispozitivul infectat, aceasta actiune este inregistrata si trimisa catre atacator.
Programul malware primește comenzi prin intermediul serviciului de mesagerie Firebase pentru a începe acțiuni precum acces la microfon si inregistrare audio. Datele furate sunt exfiltrate într-un C2 dedicat prin cerere POST.
Pentru a evita detectarea și a nu lăsa urme, spyware-ul Android șterge orice fișier exfiltrat imediat ce primește un răspuns de „succes” de la C2 și, de asemenea, reduce semnificativ consumul de lățime de bandă.
„Programul spion este capabil să efectueze o gamă largă de activități dăunătoare pentru a spiona victima în timp ce se prezintă ca o aplicație„ Actualizare sistem ”.” încheie raportul.
„Prezintă o caracteristică rar văzută înainte, furând miniaturi de videoclipuri și imagini, pe lângă utilizarea unei combinații de Firebase și a unui server dedicat Command & Control pentru primirea comenzilor și exfiltrarea datelor.”
Cercetătorii au distribuit, de asemenea, Indicatori de compromis (IoC) pentru această amenințare.
Sursa - https://securityaffairs.co/wordpress/116016/malware/andro...
la 05-04-2021 03:44 PM
la 05-04-2021 04:05 PM
@Orange Romania S.A. 2024
Cod unic de înregistrare: 9010105
Numar inregistrare Registrul Comertului: J40/10178/1996
Sediul social: Clădirea Tandem, Strada Matei Millo, nr.5, Sector 1, Bucuresti
Certificatul Tip de furnizor