Novi moćni Android malver reklamira se na hakerskim forumima

Mobilni telefoni, 13.01.2021, 10:00 AM

Novi moćni Android malver reklamira se na hakerskim forumima

Istraživači Check Pointa primetili su novi malver poznatog prodavca Android malvera koji se ovog puta udružio sa još jednim kriminalcem sa kojim reklamira i prodaje trojanski program za daljinski pristup (RAT) koji može da preuzme kontrolu nad zaraženim uređajem i sa njega izvuče fotografije, podatke o lokaciji, kontakte i poruke iz popularnih aplikacija kao što su Facebook, Instagram, WhatsApp, Skype, Telegram, Kik, Line i Google Messages.

Prodavac koji se pod imenom “Triangulum” pojavljuje na brojnim forumima dark weba, navodno je 25-godišnjak indijskog porekla. U pitanju je čovek koji je pre tri godine, 20. oktobra 2017., ponudio na prodaju svoj prvi Android malver kojeg je mesecima pre toga najavljivao na jednom hakerskom forumu. Malver je bio mobilni RAT, namenjen Android uređajima i sposoban za krađu osetljivih podataka sa uređaja, uništavanje lokalnih podataka, pa čak i čitavog OS-a, rekli su istraživači.

Triangulum je posle toga nestao na godinu i po dana, da bi se 6. aprila 2019. ponovo pojavio i za samo šest meseci ponudio čak 4 različita proizvoda. To što je u tako kratkom roku ponudio četiri malvera istraživačima se učinilo sumnjivim, jer je bilo jasno da jedna osoba nije mogla razviti četiri malvera za samo pola godine. Istraga je otkrila da je Triangulum sarađivao sa drugim programerom koji se na forumima pojavljuje pod imenom “HeXaGoN Dev” a koji se specijalizovao za razvoj RAT-ova za Android.

Triangulum je kupio nekoliko malvera od HeXaGoN Dev, koje je reklamirao na forumima. Zanimljivo je da se HeXaGoN Dev predstavljao kao potencijalni kupac u pokušaju da se privuče što više kupaca.

U početku je ovaj dvojac nudio trajnu pretplatu po ceni od 60 dolara, a prošle godine su se okrenuli finansijski isplativijem SaaS modelu poslovanja (Software-as-a-Service), naplaćujući kupcima 30 dolara za mesečnu pretplatu i 190 dolara za stalni pristup za malver koji su nazvali Rogue.

Pokušaji Trianguluma da se proširi na rusko tržište doživeli su neuspeh zato što je odbio da deli demo video snimke na forumu na kome je reklamirao malver, pa mu korisnici nisu verovali.

Rogue (v6.2) je najnovija verzija malvera Dark Shades (v6.0) kojeg je HeXaGoN Dev prodavao pre nego što ga je Triangulum kupio u avgustu 2019. Malver dolazi sa funkcijama preuzetim od druge porodice malvera pod nazivom Hawkshaw, čiji je izvorni kod postao javan 2017. godine.

„Triangulum nije razvio ovu kreaciju od nule, uzeo je ono što je bilo dostupno iz oba sveta, otvorenog koda i darkneta, i objedinio ove komponente“, rekli su istraživači.

Ispostavilo se da je Dark Shades „superiorni naslednik“ Cosmosa, posebnog RAT-a koga je prodavao HeXaGoN Dev, čineći tako prodaju Cosmosa suvišnom.

Rogue se prodaje kao RAT „stvoren za izvršavanje komandi, sa neverovatnim karakteristikama i bez potrebe za računarom“, sa dodatnim mogućnostima daljinskog upravljanja zaraženim uređajima pomoću kontrolne table ili pametnog telefona.

RAT se može pohvaliti širokim spektrom funkcija koje mu omogućavaju sticanje kontrole nad uređajem i izvlačenje bilo koje vrste podataka sa uređaja, modifikovanje fajlova na uređaju, pa čak i preuzimanje dodatnih malvera.

Takođe je dizajniran tako da spreči otkrivanje sakrivanjem ikone sa korisničkog uređaja, zaobiđe Androidova sigurnosna ograničenja iskorišćavanjem funkcija pristupačnosti za evidentiranje radnji korisnika i registruje sopstvenu uslugu obaveštavanja da bi pregledao svako obaveštenje koje se pojavi na zaraženom telefonu.

Triangulum je stekao novu klijentelu, ali je u aprilu 2020. malver procurio što je objavio ESET-ov istraživač Lukas Stefanko 20. aprila prošle godine, kada je na Twitteru rekao da je izvorni kod malvera Rogue objavljen na jednom forumu. Ali uprkos tome, istraživači Check Pointa primećuju da Triangulum i dalje prima poruke od zainteresovanih kupaca.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Trojanac Anatsa ponovo pronađen u aplikacijama na Google Play

Trojanac Anatsa ponovo pronađen u aplikacijama na Google Play

Istraživači iz firme ThreatFabric primetili su na Google Play pet aplikacija koje je preuzelo više od 150.000 korisnika koji su na taj način infic... Dalje

Android malver XLoader se širi preko SMS poruka

Android malver XLoader se širi preko SMS poruka

Istraživači iz kompanije McAfee otkrili su novu verziju Android malvera XLoader koji se širi uglavnom putem SMS poruka koje sadrže skraćeni URL k... Dalje

Lažna verzija popularne aplikacije LastPass u Apple App Storeu

Lažna verzija popularne aplikacije LastPass u Apple App Storeu

U Apple App Storeu pojavila se lažna aplikacija LassPass za koju se pretpostavlja da se koristi kao aplikacija za krađu lozinki korisnika. Kompanija... Dalje

Google će blokirati instaliranje aplikacija iz spoljnih izvora koje zahtevaju rizične dozvole

Google će blokirati instaliranje aplikacija iz spoljnih izvora koje zahtevaju rizične dozvole

Google pokreće pilot program za borbu protiv finansijskih prevara blokiranjem bočnog učitavanja Android APK fajlova koji zahtevaju pristup rizični... Dalje

Aplikacija za tinejdžere uklonjena iz App Store i sa Google Play zbog učestalih slučajeva seksualne ucene dece

Aplikacija za tinejdžere uklonjena iz App Store i sa Google Play zbog učestalih slučajeva seksualne ucene dece

Aplikacija Wizz uklonjena je iz Apple App Storea i Google Play 30. januara na zahtev američke konzervativne organizacije za borbu protiv pornografije... Dalje