Novi malver za Android ''HijackRAT''
Mobilni telefoni, 04.07.2014, 09:46 AM
Istraživači firme Fire-Eye upozorili su na novi napredni malver za Android koji raspolaže neuobičajenim paketom zlonamernih funkcionalnosti, kao što su krađa i slanje SMS poruka, kontakata i kredencijala za online bankovne naloge. Uz sve to, ovaj malver omogućava napadačima daljinski pristup uređaju, a sposoban je i da isključi antivirus instaliran na telefonu.
U ovom trenutku žrtve malvera su samo korejski korisnici Androida, a malver krade informacije o online računima korisnika osam korejskih banaka. Ipak, stručnjaci kažu da bi spisak banaka na čije korisnike cilja malver mogao biti produžen, što je pola sata posla za autore malvera.
Bankarski Trojanac koji je nazvan "HijackRAT" predstavlja se kao legitimna aplikacija Google Service Framework. Kada se instalira, malver postavlja ikonu na početni ekran, predstavljajući se kao Google Services.
Kada korisnik pokrene aplikaciju, malver traži administratorske privilegije što bi mu verovatno, s obzirom da aplikacija izgleda legitimno, većina korisnika odobrila. Korisnici koji odobre ove privilegije, neće moći da uklone aplikaciju, osim ako ne opozovu date privilegije u podešavanjima telefona.
Prilikom ponovnog pokušaja pokretanja aplikacije pojavljuje se poruka o grešci: App isn't installed”. Uklanjanjem ikone sa početnog ekrana, malver briše tragove svog prisustva na uređaju.
Posle toga, malver započinje komunikaciju sa komandno-kontrolnim serverom (C&C server), koji su istraživači locirali i koji se nalazi u Hong Kongu. Od C&C servera malver dobija spisak zadataka, koji uključuju izvlačenje privatnih podataka korisnika sa telefona kao i slanje informacija o uređaju.
Prvo što će malver uraditi je da pošalje informacije o telefonu (broj i ID uređaja), kao i spisak kontakata, koji možda mogu biti zloupotrebljeni za širenje malvera.
Malver zatim traži legitimnu aplikaciju jedne od banaka sa svog spiska i ako je instalirana na telefonu, pokušaće da je zameni svojom aplikacijom.
Osam aplikacija banaka koje se nalaze na spisku malvera zahtevaju instalaciju antivirusnog programa "com.ahnlab.c3mobileplus" sa Google Play. Da bi izbegao otkrivanje, malver može da isključi antivirus tako da može da manipuliše aplikacijama banaka.
HijackRAT tada prikazuje obaveštenje u pop-up prozoru: “Objavljena je nova verzija. Molimo vas da je koristite posle ponovne instalacije.” Malver će zatim započeti navodno ažuriranje aplikacije, dok ustvari u tom trenutku deinstalira legitimnu aplikaciju banke.
Ipak, ova funkcija ne radi baš najbolje, kažu iz firme FireEye, jer po svemu sudeći, deo posle instalacije lažne aplikacije banke još uvek nije završen.
Ipak, jedinstvena priroda ove zlonamerne aplikacije, posebni njena sposobnost da krade privatne podatke korisnika sa uređaja i da se predstavlja kao aplikacija banke, ukazuje na to da bi ovi napadi na korisnike korejskih banaka mogli biti samo test i da bismo uskoro mogli videti još moćnije aplikacije.
Izdvojeno
Milioni korisnika Androida preuzeli sa Google Play više od 200 aplikacija zaraženih malverima
Istraživači bezbednosti su prošle godine prijavili Googleu stotine lažnih aplikacija, upozoravajući da su milioni korisnika zarazili svoje uređ... Dalje
Nijedan antivirus ne detektuje ovaj Android malver
Analitičari malvera iz Cyble Research and Intelligence Labsa (CRIL) otkrili su novu varijantu Android bankovnog trojanca Kerber (Cerberus), malvera k... Dalje
Android trojanac TrickMo krade PIN-ove pomoću lažnih zaključanih ekrana
Istraživači bezbednosti kompanije Zimperium otkrili su čak 40 novih varijanti Android bankarskog trojanca TrickMo, povezanih sa 16 droppera i 22 ra... Dalje
Trojanac Octo2, maskiran u Google Chrome ili NordVPN, krade lozinke i novac sa računa korisnika zaraženih Android telefona
Istraživači Threat Fabrica su otkrili novu verziju malvera Octo, koja je do sada viđena u Italiji, Poljskoj, Moldaviji i Mađarskoj. Oni predviđaj... Dalje
Zbog zabrane američke vlade Google uklonio Kaspersky aplikacije sa Google Play, oglasio se Kaspersky
Google je tokom vikenda uklonio Kaspersky aplikacije za Android iz Google Play prodavnice i ugasio nalog programera ruske kompanije. Korisnici su toko... Dalje
Pratite nas
Nagrade