Novi malver za Android ''HijackRAT''

Mobilni telefoni, 04.07.2014, 09:46 AM

Novi malver za Android ''HijackRAT''

Istraživači firme Fire-Eye upozorili su na novi napredni malver za Android koji raspolaže neuobičajenim paketom zlonamernih funkcionalnosti, kao što su krađa i slanje SMS poruka, kontakata i kredencijala za online bankovne naloge. Uz sve to, ovaj malver omogućava napadačima daljinski pristup uređaju, a sposoban je i da isključi antivirus instaliran na telefonu.

U ovom trenutku žrtve malvera su samo korejski korisnici Androida, a malver krade informacije o online računima korisnika osam korejskih banaka. Ipak, stručnjaci kažu da bi spisak banaka na čije korisnike cilja malver mogao biti produžen, što je pola sata posla za autore malvera.

Bankarski Trojanac koji je nazvan "HijackRAT" predstavlja se kao legitimna aplikacija Google Service Framework. Kada se instalira, malver postavlja ikonu na početni ekran, predstavljajući se kao Google Services.

Kada korisnik pokrene aplikaciju, malver traži administratorske privilegije što bi mu verovatno, s obzirom da aplikacija izgleda legitimno, većina korisnika odobrila. Korisnici koji odobre ove privilegije, neće moći da uklone aplikaciju, osim ako ne opozovu date privilegije u podešavanjima telefona.

Prilikom ponovnog pokušaja pokretanja aplikacije pojavljuje se poruka o grešci: App isn't installed”. Uklanjanjem ikone sa početnog ekrana, malver briše tragove svog prisustva na uređaju.

Posle toga, malver započinje komunikaciju sa komandno-kontrolnim serverom (C&C server), koji su istraživači locirali i koji se nalazi u Hong Kongu. Od C&C servera malver dobija spisak zadataka, koji uključuju izvlačenje privatnih podataka korisnika sa telefona kao i slanje informacija o uređaju.

Prvo što će malver uraditi je da pošalje informacije o telefonu (broj i ID uređaja), kao i spisak kontakata, koji možda mogu biti zloupotrebljeni za širenje malvera.

Malver zatim traži legitimnu aplikaciju jedne od banaka sa svog spiska i ako je instalirana na telefonu, pokušaće da je zameni svojom aplikacijom.

Osam aplikacija banaka koje se nalaze na spisku malvera zahtevaju instalaciju antivirusnog programa "com.ahnlab.c3mobileplus" sa Google Play. Da bi izbegao otkrivanje, malver može da isključi antivirus tako da može da manipuliše aplikacijama banaka.

HijackRAT tada prikazuje obaveštenje u pop-up prozoru: “Objavljena je nova verzija. Molimo vas da je koristite posle ponovne instalacije.” Malver će zatim započeti navodno ažuriranje aplikacije, dok ustvari u tom trenutku deinstalira legitimnu aplikaciju banke.

Ipak, ova funkcija ne radi baš najbolje, kažu iz firme FireEye, jer po svemu sudeći, deo posle instalacije lažne aplikacije banke još uvek nije završen.

Ipak, jedinstvena priroda ove zlonamerne aplikacije, posebni njena sposobnost da krade privatne podatke korisnika sa uređaja i da se predstavlja kao aplikacija banke, ukazuje na to da bi ovi napadi na korisnike korejskih banaka mogli biti samo test i da bismo uskoro mogli videti još moćnije aplikacije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Više od 250 aplikacija sa Google Play koristi se za sakrivanje ''zlonamernih blizanačkih aplikacija'' i prevaru sa oglasima

Više od 250 aplikacija sa Google Play koristi se za sakrivanje ''zlonamernih blizanačkih aplikacija'' i prevaru sa oglasima

Istraživači iz kompanije HUMAN Security otkrili su masovnu prevaru sa oglasima koja koristi stotine aplikacija u Google Play prodavnici koje služe ... Dalje

Nove verzije Android bankarskog trojanca Medusa šire se po svetu

Nove verzije Android bankarskog trojanca Medusa šire se po svetu

Bankarski trojanac za Android pod nazivom Medusa ponovo se pojavio nakon skoro godinu dana. On se trenutno koristi za napade na uređaje korisnika u K... Dalje

Opasni trojanac Rafel RAT inficira i zaključava starije Android telefone

Opasni trojanac Rafel RAT inficira i zaključava starije Android telefone

Sve više hakerskih grupa koristi moćnog trojanca za Android otvorenog koda pod nazivom „Rafel RAT“ za napade na starije uređaje. Neki o... Dalje

Isključujete li nekad svoj pametni telefon? Evo zašto bi to trebalo raditi barem jednom nedeljno

Isključujete li nekad svoj pametni telefon? Evo zašto bi to trebalo raditi barem jednom nedeljno

Isključujete li nekad svoj telefon? Ako je odgovor ne, trebalo bi da promenite to i bar jednom nedeljno isključite i uključite telefon. Ovo je samo... Dalje

Bankarski trojanac Anatsa (Teabot) ponovo pronađen u aplikacijama u Google Play prodavnici

Bankarski trojanac Anatsa (Teabot) ponovo pronađen u aplikacijama u Google Play prodavnici

Istraživači iz kompanije Zscaler pronašli su više od 90 Android aplikacija instaliranih više od 5,5 miliona puta preko Google Play, koje su uređ... Dalje