Google u svojoj Play prodavnici otkrio spyware Lipizzan

Mobilni telefoni, 27.07.2017, 09:00 AM

Google u svojoj Play prodavnici otkrio spyware Lipizzan

Googleov tim za bezbednost Androida objavio je da je otkrio novi, moćni Android spyware nazvan Lipizzan za koji Googleovi stručnjaci tvrde da je povezan sa Equus Technologies, izraelskom kompanijom koja se na LinkedInu predstavlja kao firma specijalizovana za razvoj inovativnih rešenja po meri policija i bezbednosnih agencija.

Googleovi inženjeri su otkrili mali broj slučajeva infekcija u kojima su reagovali uklanjajući aplikacije sa uređaja žrtava pomoću nove sigurnosne funkcije nazvane Google Play Protect.

Googleovi inženjeri su otkrili 20 aplikacija inficiranih spywareom Lipizzan, i to na manje od 100 uređaja. Neke od ovih aplikacija mogle su se preuzeti preko Googleove Play prodavnice.

Lipizzanom inficirane aplikacije uspele su da provuku pored Googleovih bezbednosnih provera koristeći klasičan trik za zaobilaženje Googleovog Bouncer bezbednosnog sistema - dvokomponentni malver koji se instalira u dve faze, pri čemu je za maliciozno ponašanje malvera odgovorna komponenta koja se instalira u drugoj fazi.

Aplikacija prve faze sadrži legitiman kod, koji Google Bouncer nije označavao kao maliciozan. Kada se Lipizzan nađe na uređaju, on preuzima komponentu druge faze što se predstavlja kao korak verifikacije licence.

Međutim, nema nikakve "verifikacije licence". Komponenta druge faze traži na uređaju određene podatke, a ako telefon prođe određene provere, ova komponenta će rootovati uređaj pomoću poznatih exploit paketa.

Kada malver dobije root privilegije, on može da poziva druge brojeve, da snima zvuk pomoću mikrofona uređaja, da prati lokaciju žrtve, da pravi snimke ekrana, da fotografiše koristeći kamere uređaja, da izvlači informacije o uređaju, fajlove sa uređaja, informacije korisnika (kontakti, evidencije poziva, SMS poruke, podatke o aplikacijama instaliranim na uređaju), da izvlači podaatke iz aplikacija Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber i Whatsapp.

Googleovi inženjeri kažu da su otkrili dva talasa aplikacija inficiranih malverom Lipizzan u Play prodavnici. Kod drugog talasa aplikacija primećene su tehničke izmene komponente druge faze. Ovo pokazuje da su autori malvera shvatili da je Google otkrio njihov malver, i da su zbog toga bili prinuđeni da nađu načine za zaobilaženje Googleovog sistema za zaštitu.

Nije jasno ko stoji iza ovog malvera, i zbog čega se našao u Play prodavnici.

U aprilu ove godine, Google je otkrio Android spyware Chrysaor koji je takođe razvila izraelska firma NSO Group koja razvija sajber oružje. Ista firma je razvila i Pegasus iOS spyware. Chrysaor je bio Android verzija Pegasusa.

Lipizzan i Chrysaor su prezentovani na predavanju pod nazivom "Borba protiv ciljanih malvera u mobilnom ekosistemu", održanom na Black Hat USA konferenciji posvećenoj bezbednosti, koja se održava u Las Vegasu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Ovih dana je lako doći do aplikacija za praćenje za mobilne telefone. Ne morate ih mnogo tražiti, ima ih i u Googleovoj prodavnici Android aplikaci... Dalje

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Istraživači kompanije Symantec pokazali su nekoliko zanimljivih scenarija napada na aplikacije WhatsApp i Telegram za Android. Napad nazvan "Media F... Dalje

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa ure... Dalje

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

“Tekstualne bombe” su već duže vreme problem na iPhone uređajima, ali ovaj put je to ozbiljno, jer se može popraviti samo potpunim br... Dalje

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lukas Stefanko, iz kompanije ESET, otkrio je u Google Play prodavnici lažnu aplikaciju pod nazivom ES File Explorer. Aplikacija nije nudila korisnici... Dalje