Novi malver za Android ''HijackRAT''

Mobilni telefoni, 04.07.2014, 09:46 AM

Novi malver za Android ''HijackRAT''

Istraživači firme Fire-Eye upozorili su na novi napredni malver za Android koji raspolaže neuobičajenim paketom zlonamernih funkcionalnosti, kao što su krađa i slanje SMS poruka, kontakata i kredencijala za online bankovne naloge. Uz sve to, ovaj malver omogućava napadačima daljinski pristup uređaju, a sposoban je i da isključi antivirus instaliran na telefonu.

U ovom trenutku žrtve malvera su samo korejski korisnici Androida, a malver krade informacije o online računima korisnika osam korejskih banaka. Ipak, stručnjaci kažu da bi spisak banaka na čije korisnike cilja malver mogao biti produžen, što je pola sata posla za autore malvera.

Bankarski Trojanac koji je nazvan "HijackRAT" predstavlja se kao legitimna aplikacija Google Service Framework. Kada se instalira, malver postavlja ikonu na početni ekran, predstavljajući se kao Google Services.

Kada korisnik pokrene aplikaciju, malver traži administratorske privilegije što bi mu verovatno, s obzirom da aplikacija izgleda legitimno, većina korisnika odobrila. Korisnici koji odobre ove privilegije, neće moći da uklone aplikaciju, osim ako ne opozovu date privilegije u podešavanjima telefona.

Prilikom ponovnog pokušaja pokretanja aplikacije pojavljuje se poruka o grešci: App isn't installed”. Uklanjanjem ikone sa početnog ekrana, malver briše tragove svog prisustva na uređaju.

Posle toga, malver započinje komunikaciju sa komandno-kontrolnim serverom (C&C server), koji su istraživači locirali i koji se nalazi u Hong Kongu. Od C&C servera malver dobija spisak zadataka, koji uključuju izvlačenje privatnih podataka korisnika sa telefona kao i slanje informacija o uređaju.

Prvo što će malver uraditi je da pošalje informacije o telefonu (broj i ID uređaja), kao i spisak kontakata, koji možda mogu biti zloupotrebljeni za širenje malvera.

Malver zatim traži legitimnu aplikaciju jedne od banaka sa svog spiska i ako je instalirana na telefonu, pokušaće da je zameni svojom aplikacijom.

Osam aplikacija banaka koje se nalaze na spisku malvera zahtevaju instalaciju antivirusnog programa "com.ahnlab.c3mobileplus" sa Google Play. Da bi izbegao otkrivanje, malver može da isključi antivirus tako da može da manipuliše aplikacijama banaka.

HijackRAT tada prikazuje obaveštenje u pop-up prozoru: “Objavljena je nova verzija. Molimo vas da je koristite posle ponovne instalacije.” Malver će zatim započeti navodno ažuriranje aplikacije, dok ustvari u tom trenutku deinstalira legitimnu aplikaciju banke.

Ipak, ova funkcija ne radi baš najbolje, kažu iz firme FireEye, jer po svemu sudeći, deo posle instalacije lažne aplikacije banke još uvek nije završen.

Ipak, jedinstvena priroda ove zlonamerne aplikacije, posebni njena sposobnost da krade privatne podatke korisnika sa uređaja i da se predstavlja kao aplikacija banke, ukazuje na to da bi ovi napadi na korisnike korejskih banaka mogli biti samo test i da bismo uskoro mogli videti još moćnije aplikacije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Ovih dana je lako doći do aplikacija za praćenje za mobilne telefone. Ne morate ih mnogo tražiti, ima ih i u Googleovoj prodavnici Android aplikaci... Dalje

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Istraživači kompanije Symantec pokazali su nekoliko zanimljivih scenarija napada na aplikacije WhatsApp i Telegram za Android. Napad nazvan "Media F... Dalje

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa ure... Dalje

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

“Tekstualne bombe” su već duže vreme problem na iPhone uređajima, ali ovaj put je to ozbiljno, jer se može popraviti samo potpunim br... Dalje

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lukas Stefanko, iz kompanije ESET, otkrio je u Google Play prodavnici lažnu aplikaciju pod nazivom ES File Explorer. Aplikacija nije nudila korisnici... Dalje