Moćni Android trojanac špijunira korisnike na način koji do sada nije viđen

Mobilni telefoni, 18.01.2018, 01:00 AM

Moćni Android trojanac špijunira korisnike na način koji do sada nije viđen

Ekosistem Androida je neprestano izložen napadima novih formi malvera a sada je otkriven jedan koji može da špijunira korisnike na način koji je potpuno drugačiji u odnosu na sve do sada viđeno.

Malver su otkrili istraživači kompanije Kaspersky Lab. Reč je o moćnom Android spywareu za koji u Kaspersky Labu veruju da je delo italijanske IT kompanije za koju se sumnja da je aktivna na tržištu softvera za špijunažu.

Istraživači su novi spyware nazvali Skygofree, po jednom od domena koje malver koristi kao deo svoje infrastrukture. Malver se ustvari pojavio još 2014. godine, ali su prve infekcije prepoznate tek krajem prošle godine.

Skygofree obično čeka žrtve na lažnim sajtovima mobilnih operatera, na kojima je prerušen u ažuriranje za preinstalirane aplikacije koje se obično isporučuju sa smart telefonima kupljenim kod operatera. Aplikacije inficirane malverom Skygofree nude brži internet, te tako pridobijaju žrtve da ih instaliraju.

Ako korisnik proguta mamac i preuzme trojanca, prikazuje se obaveštenje da je proces instalacije u toku. Malver se krije od korisnika dok od servera traži instrukcije za dalje delovanje. U zavisnosti od odgovora, malver preuzima različit payload. Napadači imaju rešenje za svaku priliku.

Sve kampanje distribucije malvera koje su otkrili istraživači su bile usmerene samo na italijanske korisnike i prema statistici Kaspersky Laba, izgleda da su samo italijanski korisnici i bili zaraženi. Kod spywarea sadrži komentare na italijanskom jeziku, što ukazuje na to da je ciljno razvijen za napade na italijanske korisnike.

Iz Kaspersky Laba kažu da su u Skygofree kampanjama naišli na mnoge tragove koji ukazuju na Negg International, italijansku IT softversku kompaniju koja nudi širok spektar usluga, uključujući i usluge u vezi sajber-bezbednosti i razvoj mobilnih i web aplikacija.

Iako Kaspersky nije zvanično označio Negg kao autora Skygofree spywarea, svi dokazi ukazuju na to.

"Skygofree Android implant je jedan od najmoćnijih špijunskih alata koji smo ikada videli za [Android] platformu", kažu istraživači Kaspersky Laba u svom izveštaju.

Malver može da snima zvuk i da to što je snimio pošalje serveru. Osim toga, on može da snima zvuk iz okoline uređaja i to onda kada žrtva stigne na određeno mesto, što znači da malver može da prati kretanje korisnika. Malver može da detektuje pokrete korisnika, da krade podatke sa telefona, da služi kao keylogger, da pretražuje fajlove i šalje ukradene fajlove na server.

Skygofree se može kontrolisati preko HTTP, XMPP, SMS i FirebaseCloudMessaging protokola.

Malver može da napravi novu Wi-Fi konekciju i primora telefon korisnika da se poveže na mrežu a to omogućava napadačima da saznaju koje web sajtove žrtva posećuje, da prikupe njene lozinke, pa čak i da ukradu podatke o kreditnoj kartici žrtve.

On može da izvlači podatke iz aplikacija za razmenu poruka kao što su Line, Viber, WhatsApp, Facebook i Facebook Messenger. Malver sadrži jedinstveni exploit koji koristi uslugu pristupačnosti Androida za čitanje razgovora prikazanih na ekranu korisnika unutar WhatsAppa.

Ali najgore što malver može da uradi je da slika žrtvu prednjom kamerom, svaki put kada ona otključa uređaj.

Malver se može dodati listi "Zaštićene aplikacije" na Huawei uređajima. Aplikacije na ovoj listi mogu se pokrenuti i kada je ekran telefona isključen.

Malver sadrži exploite za propuste CVE-2013-2094, CVE-2013-2595, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636.

Istraživači su takođe otkrili i neke fajlove povezane sa Skygofree malverom, što ukazuje na to da Android spyware možda ima payload i verzije za Linux i Windows sisteme, iako takve infekcije nisu do sada identifikovane.

Ali uprkos tome što je jedan od najnaprednijih Android malvera, Skygofree nije originalan malver. Kaspersky tvrdi da je zlonamerni softver nastao na temeljima više projekata otvorenog koda.

Više detalja o malveru Skygofree možete naći na blogu kompanije Kaspersky Lab, Securelist.com.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Ovih dana je lako doći do aplikacija za praćenje za mobilne telefone. Ne morate ih mnogo tražiti, ima ih i u Googleovoj prodavnici Android aplikaci... Dalje

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Istraživači kompanije Symantec pokazali su nekoliko zanimljivih scenarija napada na aplikacije WhatsApp i Telegram za Android. Napad nazvan "Media F... Dalje

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa ure... Dalje

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

“Tekstualne bombe” su već duže vreme problem na iPhone uređajima, ali ovaj put je to ozbiljno, jer se može popraviti samo potpunim br... Dalje

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lukas Stefanko, iz kompanije ESET, otkrio je u Google Play prodavnici lažnu aplikaciju pod nazivom ES File Explorer. Aplikacija nije nudila korisnici... Dalje