Moćni Android trojanac špijunira korisnike na način koji do sada nije viđen

Mobilni telefoni, 18.01.2018, 01:00 AM

Ekosistem Androida je neprestano izložen napadima novih formi malvera a sada je otkriven jedan koji može da špijunira korisnike na način koji je potpuno drugačiji u odnosu na sve do sada viđeno.

Malver su otkrili istraživači kompanije Kaspersky Lab. Reč je o moćnom Android spywareu za koji u Kaspersky Labu veruju da je delo italijanske IT kompanije za koju se sumnja da je aktivna na tržištu softvera za špijunažu.

Istraživači su novi spyware nazvali Skygofree, po jednom od domena koje malver koristi kao deo svoje infrastrukture. Malver se ustvari pojavio još 2014. godine, ali su prve infekcije prepoznate tek krajem prošle godine.

Skygofree obično čeka žrtve na lažnim sajtovima mobilnih operatera, na kojima je prerušen u ažuriranje za preinstalirane aplikacije koje se obično isporučuju sa smart telefonima kupljenim kod operatera. Aplikacije inficirane malverom Skygofree nude brži internet, te tako pridobijaju žrtve da ih instaliraju.

Ako korisnik proguta mamac i preuzme trojanca, prikazuje se obaveštenje da je proces instalacije u toku. Malver se krije od korisnika dok od servera traži instrukcije za dalje delovanje. U zavisnosti od odgovora, malver preuzima različit payload. Napadači imaju rešenje za svaku priliku.

Sve kampanje distribucije malvera koje su otkrili istraživači su bile usmerene samo na italijanske korisnike i prema statistici Kaspersky Laba, izgleda da su samo italijanski korisnici i bili zaraženi. Kod spywarea sadrži komentare na italijanskom jeziku, što ukazuje na to da je ciljno razvijen za napade na italijanske korisnike.

Iz Kaspersky Laba kažu da su u Skygofree kampanjama naišli na mnoge tragove koji ukazuju na Negg International, italijansku IT softversku kompaniju koja nudi širok spektar usluga, uključujući i usluge u vezi sajber-bezbednosti i razvoj mobilnih i web aplikacija.

Iako Kaspersky nije zvanično označio Negg kao autora Skygofree spywarea, svi dokazi ukazuju na to.

"Skygofree Android implant je jedan od najmoćnijih špijunskih alata koji smo ikada videli za [Android] platformu", kažu istraživači Kaspersky Laba u svom izveštaju.

Malver može da snima zvuk i da to što je snimio pošalje serveru. Osim toga, on može da snima zvuk iz okoline uređaja i to onda kada žrtva stigne na određeno mesto, što znači da malver može da prati kretanje korisnika. Malver može da detektuje pokrete korisnika, da krade podatke sa telefona, da služi kao keylogger, da pretražuje fajlove i šalje ukradene fajlove na server.

Skygofree se može kontrolisati preko HTTP, XMPP, SMS i FirebaseCloudMessaging protokola.

Malver može da napravi novu Wi-Fi konekciju i primora telefon korisnika da se poveže na mrežu a to omogućava napadačima da saznaju koje web sajtove žrtva posećuje, da prikupe njene lozinke, pa čak i da ukradu podatke o kreditnoj kartici žrtve.

On može da izvlači podatke iz aplikacija za razmenu poruka kao što su Line, Viber, WhatsApp, Facebook i Facebook Messenger. Malver sadrži jedinstveni exploit koji koristi uslugu pristupačnosti Androida za čitanje razgovora prikazanih na ekranu korisnika unutar WhatsAppa.

Ali najgore što malver može da uradi je da slika žrtvu prednjom kamerom, svaki put kada ona otključa uređaj.

Malver se može dodati listi "Zaštićene aplikacije" na Huawei uređajima. Aplikacije na ovoj listi mogu se pokrenuti i kada je ekran telefona isključen.

Malver sadrži exploite za propuste CVE-2013-2094, CVE-2013-2595, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636.

Istraživači su takođe otkrili i neke fajlove povezane sa Skygofree malverom, što ukazuje na to da Android spyware možda ima payload i verzije za Linux i Windows sisteme, iako takve infekcije nisu do sada identifikovane.

Ali uprkos tome što je jedan od najnaprednijih Android malvera, Skygofree nije originalan malver. Kaspersky tvrdi da je zlonamerni softver nastao na temeljima više projekata otvorenog koda.

Više detalja o malveru Skygofree možete naći na blogu kompanije Kaspersky Lab, Securelist.com.