Google u svojoj Play prodavnici otkrio spyware Lipizzan

Mobilni telefoni, 27.07.2017, 09:00 AM

Google u svojoj Play prodavnici otkrio spyware Lipizzan

Googleov tim za bezbednost Androida objavio je da je otkrio novi, moćni Android spyware nazvan Lipizzan za koji Googleovi stručnjaci tvrde da je povezan sa Equus Technologies, izraelskom kompanijom koja se na LinkedInu predstavlja kao firma specijalizovana za razvoj inovativnih rešenja po meri policija i bezbednosnih agencija.

Googleovi inženjeri su otkrili mali broj slučajeva infekcija u kojima su reagovali uklanjajući aplikacije sa uređaja žrtava pomoću nove sigurnosne funkcije nazvane Google Play Protect.

Googleovi inženjeri su otkrili 20 aplikacija inficiranih spywareom Lipizzan, i to na manje od 100 uređaja. Neke od ovih aplikacija mogle su se preuzeti preko Googleove Play prodavnice.

Lipizzanom inficirane aplikacije uspele su da provuku pored Googleovih bezbednosnih provera koristeći klasičan trik za zaobilaženje Googleovog Bouncer bezbednosnog sistema - dvokomponentni malver koji se instalira u dve faze, pri čemu je za maliciozno ponašanje malvera odgovorna komponenta koja se instalira u drugoj fazi.

Aplikacija prve faze sadrži legitiman kod, koji Google Bouncer nije označavao kao maliciozan. Kada se Lipizzan nađe na uređaju, on preuzima komponentu druge faze što se predstavlja kao korak verifikacije licence.

Međutim, nema nikakve "verifikacije licence". Komponenta druge faze traži na uređaju određene podatke, a ako telefon prođe određene provere, ova komponenta će rootovati uređaj pomoću poznatih exploit paketa.

Kada malver dobije root privilegije, on može da poziva druge brojeve, da snima zvuk pomoću mikrofona uređaja, da prati lokaciju žrtve, da pravi snimke ekrana, da fotografiše koristeći kamere uređaja, da izvlači informacije o uređaju, fajlove sa uređaja, informacije korisnika (kontakti, evidencije poziva, SMS poruke, podatke o aplikacijama instaliranim na uređaju), da izvlači podaatke iz aplikacija Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber i Whatsapp.

Googleovi inženjeri kažu da su otkrili dva talasa aplikacija inficiranih malverom Lipizzan u Play prodavnici. Kod drugog talasa aplikacija primećene su tehničke izmene komponente druge faze. Ovo pokazuje da su autori malvera shvatili da je Google otkrio njihov malver, i da su zbog toga bili prinuđeni da nađu načine za zaobilaženje Googleovog sistema za zaštitu.

Nije jasno ko stoji iza ovog malvera, i zbog čega se našao u Play prodavnici.

U aprilu ove godine, Google je otkrio Android spyware Chrysaor koji je takođe razvila izraelska firma NSO Group koja razvija sajber oružje. Ista firma je razvila i Pegasus iOS spyware. Chrysaor je bio Android verzija Pegasusa.

Lipizzan i Chrysaor su prezentovani na predavanju pod nazivom "Borba protiv ciljanih malvera u mobilnom ekosistemu", održanom na Black Hat USA konferenciji posvećenoj bezbednosti, koja se održava u Las Vegasu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Joker ponovo pronađen u aplikacijama u Google Play prodavnici

Malver Joker ponovo pronađen u aplikacijama u Google Play prodavnici

Tokom poslednje tri godine Google Play prodavnica često je bila dom zloglasnog malvera „Joker“. Malver je sada ponovo otkriven u 8 novih ... Dalje

iPhone ima bag zbog kog se ne smete povezivati sa ovom Wi-Fi mrežom

iPhone ima bag zbog kog se ne smete povezivati sa ovom Wi-Fi mrežom

U iOS-u je otkrivena bizarna greška zbog koje iPhone može trajno onemogućiti svoju Wi-Fi funkciju ako korisnik pokuša da se poveže sa Wi-Fi mrež... Dalje

Tim Kuk kaže da Android ima 47 puta više malvera nego iOS

Tim Kuk kaže da Android ima 47 puta više malvera nego iOS

Direktor Applea Tim Kuk izjavio je da Android ima više malvera nego iOS i da „sideloading“ mobilnog softvera nije u „najboljem inte... Dalje

Malver u lažnoj antivirusnoj aplikaciji za Android

Malver u lažnoj antivirusnoj aplikaciji za Android

Malver TeaBot inficira pametne telefone pretvarajući se da je čuveni antivirusni program. Lažnu aplikaciju prevaranti su nazvali “Kaspersky ... Dalje

Googleova aplikacija Messages sada nudi šifrovanje poruka

Googleova aplikacija Messages sada nudi šifrovanje poruka

Zajedno sa nizom novih funkcija, Google konačno uvodi end-to-end enkripciju (E2EE) za sve u aplikaciji Messages. Beta testeri mogu da koriste E2EE po... Dalje