Novi malver za Android ''HijackRAT''

Mobilni telefoni, 04.07.2014, 09:46 AM

Novi malver za Android ''HijackRAT''

Istraživači firme Fire-Eye upozorili su na novi napredni malver za Android koji raspolaže neuobičajenim paketom zlonamernih funkcionalnosti, kao što su krađa i slanje SMS poruka, kontakata i kredencijala za online bankovne naloge. Uz sve to, ovaj malver omogućava napadačima daljinski pristup uređaju, a sposoban je i da isključi antivirus instaliran na telefonu.

U ovom trenutku žrtve malvera su samo korejski korisnici Androida, a malver krade informacije o online računima korisnika osam korejskih banaka. Ipak, stručnjaci kažu da bi spisak banaka na čije korisnike cilja malver mogao biti produžen, što je pola sata posla za autore malvera.

Bankarski Trojanac koji je nazvan "HijackRAT" predstavlja se kao legitimna aplikacija Google Service Framework. Kada se instalira, malver postavlja ikonu na početni ekran, predstavljajući se kao Google Services.

Kada korisnik pokrene aplikaciju, malver traži administratorske privilegije što bi mu verovatno, s obzirom da aplikacija izgleda legitimno, većina korisnika odobrila. Korisnici koji odobre ove privilegije, neće moći da uklone aplikaciju, osim ako ne opozovu date privilegije u podešavanjima telefona.

Prilikom ponovnog pokušaja pokretanja aplikacije pojavljuje se poruka o grešci: App isn't installed”. Uklanjanjem ikone sa početnog ekrana, malver briše tragove svog prisustva na uređaju.

Posle toga, malver započinje komunikaciju sa komandno-kontrolnim serverom (C&C server), koji su istraživači locirali i koji se nalazi u Hong Kongu. Od C&C servera malver dobija spisak zadataka, koji uključuju izvlačenje privatnih podataka korisnika sa telefona kao i slanje informacija o uređaju.

Prvo što će malver uraditi je da pošalje informacije o telefonu (broj i ID uređaja), kao i spisak kontakata, koji možda mogu biti zloupotrebljeni za širenje malvera.

Malver zatim traži legitimnu aplikaciju jedne od banaka sa svog spiska i ako je instalirana na telefonu, pokušaće da je zameni svojom aplikacijom.

Osam aplikacija banaka koje se nalaze na spisku malvera zahtevaju instalaciju antivirusnog programa "com.ahnlab.c3mobileplus" sa Google Play. Da bi izbegao otkrivanje, malver može da isključi antivirus tako da može da manipuliše aplikacijama banaka.

HijackRAT tada prikazuje obaveštenje u pop-up prozoru: “Objavljena je nova verzija. Molimo vas da je koristite posle ponovne instalacije.” Malver će zatim započeti navodno ažuriranje aplikacije, dok ustvari u tom trenutku deinstalira legitimnu aplikaciju banke.

Ipak, ova funkcija ne radi baš najbolje, kažu iz firme FireEye, jer po svemu sudeći, deo posle instalacije lažne aplikacije banke još uvek nije završen.

Ipak, jedinstvena priroda ove zlonamerne aplikacije, posebni njena sposobnost da krade privatne podatke korisnika sa uređaja i da se predstavlja kao aplikacija banke, ukazuje na to da bi ovi napadi na korisnike korejskih banaka mogli biti samo test i da bismo uskoro mogli videti još moćnije aplikacije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android malver preusmerava korisničke pozive bankama na brojeve koje kontrolišu hakeri

Android malver preusmerava korisničke pozive bankama na brojeve koje kontrolišu hakeri

Nova verzija malvera za Android FakeCall otima odlazne pozive korisnika ka njihovoj banci, i preusmerava ih na telefonski broj napadača. Cilj najnovi... Dalje

Otkrivena nova verzija malvera LightSpy za iOS

Otkrivena nova verzija malvera LightSpy za iOS

ThreatFabric je otkrio novu verziju špijunskog softvera LightSpy, koji se koristi na iOS uređajima. Nova verzija malvera (7.9.0) je sofisticiranija ... Dalje

Milioni korisnika iOS-a i Androida u opasnosti zbog nebezbednih popularnih aplikacija

Milioni korisnika iOS-a i Androida u opasnosti zbog nebezbednih popularnih aplikacija

Milioni korisnika iOS-a i Androida su u opasnosti nakon što je Symantec otkrio da popularne aplikacije za obe platforme sadrže hardkodovane, nešifr... Dalje

Milioni korisnika Androida preuzeli sa Google Play više od 200 aplikacija zaraženih malverima

Milioni korisnika Androida preuzeli sa Google Play više od 200 aplikacija zaraženih malverima

Istraživači bezbednosti su prošle godine prijavili Googleu stotine lažnih aplikacija, upozoravajući da su milioni korisnika zarazili svoje uređ... Dalje

Nijedan antivirus ne detektuje ovaj Android malver

Nijedan antivirus ne detektuje ovaj Android malver

Analitičari malvera iz Cyble Research and Intelligence Labsa (CRIL) otkrili su novu varijantu Android bankovnog trojanca Kerber (Cerberus), malvera k... Dalje