Novi malver za Android ''HijackRAT''

Mobilni telefoni, 04.07.2014, 09:46 AM

Novi malver za Android ''HijackRAT''

Istraživači firme Fire-Eye upozorili su na novi napredni malver za Android koji raspolaže neuobičajenim paketom zlonamernih funkcionalnosti, kao što su krađa i slanje SMS poruka, kontakata i kredencijala za online bankovne naloge. Uz sve to, ovaj malver omogućava napadačima daljinski pristup uređaju, a sposoban je i da isključi antivirus instaliran na telefonu.

U ovom trenutku žrtve malvera su samo korejski korisnici Androida, a malver krade informacije o online računima korisnika osam korejskih banaka. Ipak, stručnjaci kažu da bi spisak banaka na čije korisnike cilja malver mogao biti produžen, što je pola sata posla za autore malvera.

Bankarski Trojanac koji je nazvan "HijackRAT" predstavlja se kao legitimna aplikacija Google Service Framework. Kada se instalira, malver postavlja ikonu na početni ekran, predstavljajući se kao Google Services.

Kada korisnik pokrene aplikaciju, malver traži administratorske privilegije što bi mu verovatno, s obzirom da aplikacija izgleda legitimno, većina korisnika odobrila. Korisnici koji odobre ove privilegije, neće moći da uklone aplikaciju, osim ako ne opozovu date privilegije u podešavanjima telefona.

Prilikom ponovnog pokušaja pokretanja aplikacije pojavljuje se poruka o grešci: App isn't installed”. Uklanjanjem ikone sa početnog ekrana, malver briše tragove svog prisustva na uređaju.

Posle toga, malver započinje komunikaciju sa komandno-kontrolnim serverom (C&C server), koji su istraživači locirali i koji se nalazi u Hong Kongu. Od C&C servera malver dobija spisak zadataka, koji uključuju izvlačenje privatnih podataka korisnika sa telefona kao i slanje informacija o uređaju.

Prvo što će malver uraditi je da pošalje informacije o telefonu (broj i ID uređaja), kao i spisak kontakata, koji možda mogu biti zloupotrebljeni za širenje malvera.

Malver zatim traži legitimnu aplikaciju jedne od banaka sa svog spiska i ako je instalirana na telefonu, pokušaće da je zameni svojom aplikacijom.

Osam aplikacija banaka koje se nalaze na spisku malvera zahtevaju instalaciju antivirusnog programa "com.ahnlab.c3mobileplus" sa Google Play. Da bi izbegao otkrivanje, malver može da isključi antivirus tako da može da manipuliše aplikacijama banaka.

HijackRAT tada prikazuje obaveštenje u pop-up prozoru: “Objavljena je nova verzija. Molimo vas da je koristite posle ponovne instalacije.” Malver će zatim započeti navodno ažuriranje aplikacije, dok ustvari u tom trenutku deinstalira legitimnu aplikaciju banke.

Ipak, ova funkcija ne radi baš najbolje, kažu iz firme FireEye, jer po svemu sudeći, deo posle instalacije lažne aplikacije banke još uvek nije završen.

Ipak, jedinstvena priroda ove zlonamerne aplikacije, posebni njena sposobnost da krade privatne podatke korisnika sa uređaja i da se predstavlja kao aplikacija banke, ukazuje na to da bi ovi napadi na korisnike korejskih banaka mogli biti samo test i da bismo uskoro mogli videti još moćnije aplikacije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Nakon medijskih izveštaja da čitač otiska prsta u Samsung Galaxy S10 telefonima otključava uređaj i kad skenira neregistrovane otiske prstiju pre... Dalje

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Par iz Velike Britanije primetio je čudnu grešku na svom Samsung Galaxy S10 koja omogućava da se zaobiđe čitač otiska prsta kako bi se otključ... Dalje

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Uprkos Googleovim naporima da njegova prodavnica Android aplikacija bude bez malvera, maliciozne aplikacije i dalje nekako uspevaju da prođu proces p... Dalje

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Skoro svaka aplikacija sadrži bezbednosne propuste, od kojih će neki možda biti otkriveni već danas, ali drugi će ostati nevidljivi dok ih neko n... Dalje

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Googleova Grupa za analizu pretnji (TAG) otkrila je novi 0-day bag u Androidu koji se uveliko koristi za napade na ranjive pametne telefone - Google P... Dalje