Google u svojoj Play prodavnici otkrio spyware Lipizzan

Mobilni telefoni, 27.07.2017, 09:00 AM

Google u svojoj Play prodavnici otkrio spyware Lipizzan

Googleov tim za bezbednost Androida objavio je da je otkrio novi, moćni Android spyware nazvan Lipizzan za koji Googleovi stručnjaci tvrde da je povezan sa Equus Technologies, izraelskom kompanijom koja se na LinkedInu predstavlja kao firma specijalizovana za razvoj inovativnih rešenja po meri policija i bezbednosnih agencija.

Googleovi inženjeri su otkrili mali broj slučajeva infekcija u kojima su reagovali uklanjajući aplikacije sa uređaja žrtava pomoću nove sigurnosne funkcije nazvane Google Play Protect.

Googleovi inženjeri su otkrili 20 aplikacija inficiranih spywareom Lipizzan, i to na manje od 100 uređaja. Neke od ovih aplikacija mogle su se preuzeti preko Googleove Play prodavnice.

Lipizzanom inficirane aplikacije uspele su da provuku pored Googleovih bezbednosnih provera koristeći klasičan trik za zaobilaženje Googleovog Bouncer bezbednosnog sistema - dvokomponentni malver koji se instalira u dve faze, pri čemu je za maliciozno ponašanje malvera odgovorna komponenta koja se instalira u drugoj fazi.

Aplikacija prve faze sadrži legitiman kod, koji Google Bouncer nije označavao kao maliciozan. Kada se Lipizzan nađe na uređaju, on preuzima komponentu druge faze što se predstavlja kao korak verifikacije licence.

Međutim, nema nikakve "verifikacije licence". Komponenta druge faze traži na uređaju određene podatke, a ako telefon prođe određene provere, ova komponenta će rootovati uređaj pomoću poznatih exploit paketa.

Kada malver dobije root privilegije, on može da poziva druge brojeve, da snima zvuk pomoću mikrofona uređaja, da prati lokaciju žrtve, da pravi snimke ekrana, da fotografiše koristeći kamere uređaja, da izvlači informacije o uređaju, fajlove sa uređaja, informacije korisnika (kontakti, evidencije poziva, SMS poruke, podatke o aplikacijama instaliranim na uređaju), da izvlači podaatke iz aplikacija Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber i Whatsapp.

Googleovi inženjeri kažu da su otkrili dva talasa aplikacija inficiranih malverom Lipizzan u Play prodavnici. Kod drugog talasa aplikacija primećene su tehničke izmene komponente druge faze. Ovo pokazuje da su autori malvera shvatili da je Google otkrio njihov malver, i da su zbog toga bili prinuđeni da nađu načine za zaobilaženje Googleovog sistema za zaštitu.

Nije jasno ko stoji iza ovog malvera, i zbog čega se našao u Play prodavnici.

U aprilu ove godine, Google je otkrio Android spyware Chrysaor koji je takođe razvila izraelska firma NSO Group koja razvija sajber oružje. Ista firma je razvila i Pegasus iOS spyware. Chrysaor je bio Android verzija Pegasusa.

Lipizzan i Chrysaor su prezentovani na predavanju pod nazivom "Borba protiv ciljanih malvera u mobilnom ekosistemu", održanom na Black Hat USA konferenciji posvećenoj bezbednosti, koja se održava u Las Vegasu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Apple zabranio aplikaciju koja pomaže korisnicima da uhode ljude koje prate na Instagramu

Apple zabranio aplikaciju koja pomaže korisnicima da uhode ljude koje prate na Instagramu

Apple je zabranio aplikaciju Like Patrol koja omogućava ljudima da prate aktivnosti drugih na Instagramu. Like Patrol je aplikacija koja je naplać... Dalje

Alijansa za odbranu aplikacija proveravaće aplikacije pre nego što budu objavljene u Play prodavnici

Alijansa za odbranu aplikacija proveravaće aplikacije pre nego što budu objavljene u Play prodavnici

Google je najavio da će udružiti snage sa kompanijama ESET, Lookout i Zimperium da bi poboljšali otkrivanje zlonamernih Android aplikacija pre neg... Dalje

Facebook tuži izraelskog proizvođača špijunskog softvera zbog hakovanja korisnika WhatsAppa

Facebook tuži izraelskog proizvođača špijunskog softvera zbog hakovanja korisnika WhatsAppa

Facebook je u utorak podneo tužbu protiv izraelske firme za nadzor mobilnih uređaja NSO Grupe, tvrdeći da je ova firma aktivno bila uključena u h... Dalje

Trojanac koji je inficirao 45000 Android uređaja ponovo se instalira nakon uklanjanja

Trojanac koji je inficirao 45000 Android uređaja ponovo se instalira nakon uklanjanja

U proteklih nekoliko meseci stotine korisnika Androida žalile su se na internetu na misteriozni malver koji se skriva na zaraženim uređajima i koji... Dalje

Google zbog malvera uklonio aplikaciju za ulepšavanje fotografija

Google zbog malvera uklonio aplikaciju za ulepšavanje fotografija

Google je iz svoje Play prodavnice aplikacija za Android uređaje uklonio aplikaciju pod nazivom Yellow Camera i druge slične aplikacije nakon što j... Dalje