Bezpečnostní výskumníci objavili nový trójsky kôň, ktorý kradne z Android zariadení množstvo informácií od histórie prehliadača až po záznamy telefónnych hovorov.
Táto nová škodlivá aplikácia sa maskuje ako aplikácia System Update. „Spyware vytvorí upozornenie, ak je obrazovka zariadenia vypnutá, keď prijme príkaz pomocou služby správ Firebase,“ uviedli v piatkovej analýze vedci spoločnosti Zimperium. „,Searching for update..‘ nie je legitímnou notifikáciou operačného systému, ale spywarom.“
Po nainštalovaní táto škodlivá aplikácia zaregistruje zariadenie pomocou Firebase Command and Control (C&C) s informáciami, či je v zariadení nainštalovaná aplikácia WhatsApp, aká je aktuálna percentuálna hodnota nabitia batérie, štatistika úložiska. Tiež zaznamená token prijatý z Firebase messaging service spolu s typom internetového pripojenia. Následne zhromaždí všetky údaje, ktoré škodlivú aplikáciu zaujímajú a uploadne ich na C&C server vo forme šifrovaného ZIP súboru.
Spyware sa zameriava na nespočetné množstvo informácií, vrátane kontaktov, záložiek prehliadača, histórie vyhľadávania, správ, dokáže nahrávať zvuk, telefonáty a fotografovať pomocou fotoaparátov telefónu. Môže tiež sledovať polohu zariadenia, vyhľadávať súbory s konkrétnymi príponami a získavať údaje zo schránky zariadenia (skopírovaný text a položky).
„Funkčnosť a exfiltrácia dát spywaru sa spúšťajú za viacerých podmienok, napríklad pri pridaní nového kontaktu, prijatí novej SMS alebo nainštalovaní novej aplikácie,“ uvádza sa na webe spoločnosti Zimperium. Spyware navyše vymaže všetky stopy svojej škodlivej činnosti odstránením súborov ZIP hneď po prijatí správy o úspešnom nahratí od C&C servera. V rámci ďalšej snahy vyhnúť sa detekcii tiež znižuje svoju spotrebu šírky pásma nahraním miniatúr namiesto skutočných obrázkov a videí.
Aj keď aplikácia „System Update“ nikdy nebola distribuovaná prostredníctvom oficiálneho obchodu Google Play, mohla sa nachádzať v obchodoch tretích strán, prípadne mohla byť stiahnutá vo forme apk súboru priamo z webu a následne nainštalovaná používateľom. Identita autorov škodlivého softvéru, cieľových obetí a konečný motív zatiaľ nie sú známe.
Prečítajte si tiež: Používatelia iOS, iPadOS a watchOS zariadení by si mali čím skôr zaktualizovať operačný systém!
Zdroje: Zimperium
Add new comment