Novi moćni Android malver reklamira se na hakerskim forumima

Mobilni telefoni, 13.01.2021, 10:00 AM

Novi moćni Android malver reklamira se na hakerskim forumima

Istraživači Check Pointa primetili su novi malver poznatog prodavca Android malvera koji se ovog puta udružio sa još jednim kriminalcem sa kojim reklamira i prodaje trojanski program za daljinski pristup (RAT) koji može da preuzme kontrolu nad zaraženim uređajem i sa njega izvuče fotografije, podatke o lokaciji, kontakte i poruke iz popularnih aplikacija kao što su Facebook, Instagram, WhatsApp, Skype, Telegram, Kik, Line i Google Messages.

Prodavac koji se pod imenom “Triangulum” pojavljuje na brojnim forumima dark weba, navodno je 25-godišnjak indijskog porekla. U pitanju je čovek koji je pre tri godine, 20. oktobra 2017., ponudio na prodaju svoj prvi Android malver kojeg je mesecima pre toga najavljivao na jednom hakerskom forumu. Malver je bio mobilni RAT, namenjen Android uređajima i sposoban za krađu osetljivih podataka sa uređaja, uništavanje lokalnih podataka, pa čak i čitavog OS-a, rekli su istraživači.

Triangulum je posle toga nestao na godinu i po dana, da bi se 6. aprila 2019. ponovo pojavio i za samo šest meseci ponudio čak 4 različita proizvoda. To što je u tako kratkom roku ponudio četiri malvera istraživačima se učinilo sumnjivim, jer je bilo jasno da jedna osoba nije mogla razviti četiri malvera za samo pola godine. Istraga je otkrila da je Triangulum sarađivao sa drugim programerom koji se na forumima pojavljuje pod imenom “HeXaGoN Dev” a koji se specijalizovao za razvoj RAT-ova za Android.

Triangulum je kupio nekoliko malvera od HeXaGoN Dev, koje je reklamirao na forumima. Zanimljivo je da se HeXaGoN Dev predstavljao kao potencijalni kupac u pokušaju da se privuče što više kupaca.

U početku je ovaj dvojac nudio trajnu pretplatu po ceni od 60 dolara, a prošle godine su se okrenuli finansijski isplativijem SaaS modelu poslovanja (Software-as-a-Service), naplaćujući kupcima 30 dolara za mesečnu pretplatu i 190 dolara za stalni pristup za malver koji su nazvali Rogue.

Pokušaji Trianguluma da se proširi na rusko tržište doživeli su neuspeh zato što je odbio da deli demo video snimke na forumu na kome je reklamirao malver, pa mu korisnici nisu verovali.

Rogue (v6.2) je najnovija verzija malvera Dark Shades (v6.0) kojeg je HeXaGoN Dev prodavao pre nego što ga je Triangulum kupio u avgustu 2019. Malver dolazi sa funkcijama preuzetim od druge porodice malvera pod nazivom Hawkshaw, čiji je izvorni kod postao javan 2017. godine.

„Triangulum nije razvio ovu kreaciju od nule, uzeo je ono što je bilo dostupno iz oba sveta, otvorenog koda i darkneta, i objedinio ove komponente“, rekli su istraživači.

Ispostavilo se da je Dark Shades „superiorni naslednik“ Cosmosa, posebnog RAT-a koga je prodavao HeXaGoN Dev, čineći tako prodaju Cosmosa suvišnom.

Rogue se prodaje kao RAT „stvoren za izvršavanje komandi, sa neverovatnim karakteristikama i bez potrebe za računarom“, sa dodatnim mogućnostima daljinskog upravljanja zaraženim uređajima pomoću kontrolne table ili pametnog telefona.

RAT se može pohvaliti širokim spektrom funkcija koje mu omogućavaju sticanje kontrole nad uređajem i izvlačenje bilo koje vrste podataka sa uređaja, modifikovanje fajlova na uređaju, pa čak i preuzimanje dodatnih malvera.

Takođe je dizajniran tako da spreči otkrivanje sakrivanjem ikone sa korisničkog uređaja, zaobiđe Androidova sigurnosna ograničenja iskorišćavanjem funkcija pristupačnosti za evidentiranje radnji korisnika i registruje sopstvenu uslugu obaveštavanja da bi pregledao svako obaveštenje koje se pojavi na zaraženom telefonu.

Triangulum je stekao novu klijentelu, ali je u aprilu 2020. malver procurio što je objavio ESET-ov istraživač Lukas Stefanko 20. aprila prošle godine, kada je na Twitteru rekao da je izvorni kod malvera Rogue objavljen na jednom forumu. Ali uprkos tome, istraživači Check Pointa primećuju da Triangulum i dalje prima poruke od zainteresovanih kupaca.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje

Signal uveo podršku za korisnička imena u aplikaciji

Signal uveo podršku za korisnička imena u aplikaciji

Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje