Google u svojoj Play prodavnici otkrio spyware Lipizzan

Mobilni telefoni, 27.07.2017, 09:00 AM

Googleov tim za bezbednost Androida objavio je da je otkrio novi, moćni Android spyware nazvan Lipizzan za koji Googleovi stručnjaci tvrde da je povezan sa Equus Technologies, izraelskom kompanijom koja se na LinkedInu predstavlja kao firma specijalizovana za razvoj inovativnih rešenja po meri policija i bezbednosnih agencija.

Googleovi inženjeri su otkrili mali broj slučajeva infekcija u kojima su reagovali uklanjajući aplikacije sa uređaja žrtava pomoću nove sigurnosne funkcije nazvane Google Play Protect.

Googleovi inženjeri su otkrili 20 aplikacija inficiranih spywareom Lipizzan, i to na manje od 100 uređaja. Neke od ovih aplikacija mogle su se preuzeti preko Googleove Play prodavnice.

Lipizzanom inficirane aplikacije uspele su da provuku pored Googleovih bezbednosnih provera koristeći klasičan trik za zaobilaženje Googleovog Bouncer bezbednosnog sistema - dvokomponentni malver koji se instalira u dve faze, pri čemu je za maliciozno ponašanje malvera odgovorna komponenta koja se instalira u drugoj fazi.

Aplikacija prve faze sadrži legitiman kod, koji Google Bouncer nije označavao kao maliciozan. Kada se Lipizzan nađe na uređaju, on preuzima komponentu druge faze što se predstavlja kao korak verifikacije licence.

Međutim, nema nikakve "verifikacije licence". Komponenta druge faze traži na uređaju određene podatke, a ako telefon prođe određene provere, ova komponenta će rootovati uređaj pomoću poznatih exploit paketa.

Kada malver dobije root privilegije, on može da poziva druge brojeve, da snima zvuk pomoću mikrofona uređaja, da prati lokaciju žrtve, da pravi snimke ekrana, da fotografiše koristeći kamere uređaja, da izvlači informacije o uređaju, fajlove sa uređaja, informacije korisnika (kontakti, evidencije poziva, SMS poruke, podatke o aplikacijama instaliranim na uređaju), da izvlači podaatke iz aplikacija Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber i Whatsapp.

Googleovi inženjeri kažu da su otkrili dva talasa aplikacija inficiranih malverom Lipizzan u Play prodavnici. Kod drugog talasa aplikacija primećene su tehničke izmene komponente druge faze. Ovo pokazuje da su autori malvera shvatili da je Google otkrio njihov malver, i da su zbog toga bili prinuđeni da nađu načine za zaobilaženje Googleovog sistema za zaštitu.

Nije jasno ko stoji iza ovog malvera, i zbog čega se našao u Play prodavnici.

U aprilu ove godine, Google je otkrio Android spyware Chrysaor koji je takođe razvila izraelska firma NSO Group koja razvija sajber oružje. Ista firma je razvila i Pegasus iOS spyware. Chrysaor je bio Android verzija Pegasusa.

Lipizzan i Chrysaor su prezentovani na predavanju pod nazivom "Borba protiv ciljanih malvera u mobilnom ekosistemu", održanom na Black Hat USA konferenciji posvećenoj bezbednosti, koja se održava u Las Vegasu.