U Google Play prodavnici pronađen špijunski malver koji je koristila jedna vlada

Mobilni telefoni, 01.04.2019, 11:30 AM

U Google Play prodavnici pronađen špijunski malver koji je koristila jedna vlada

Istraživači iz Security Without Borders pronašli su špijunski malver u aplikacijama na Google Play.

Prema rečima istraživača, stotine uređaja zaraženo je malverom koji se krio u nekoliko Android aplikacija koje su se mesecima nalazile u zvaničnoj Googleovoj Play prodavnici.

Ovo je još jedan u nizu slučajeva koji ukazuju na ograničenja Googleovih filtera koji imaju zadatak da spreče ulaz zlonamernog softvera u Play prodavnicu. U ovom slučaju, više od 20 zlonamernih aplikacija je ušlo neopaženo u Googleovu prodavnicu tokom otprilike dve godine.

Kako piše Motherboard, malver je italijanskoj vladi prodala kompanija koja prodaje kamere za nadzor, za koju se do sada nije znalo da proizvodi malvere. Stručnjaci kažu da su “nastradale” nevine žrtve jer je špijunski softver bio loš.

Špijunske aplikacije su otkrivene, a zatim i analizirane, u zajedničkoj istrazi istraživača iz Security Without Borders, neprofitne organizacije koja često istražuje pretnje koje se koriste protiv disidenta i zaštitnika ljudskih prava, i sajta Motherboard.

Lukas Stefanko, istraživač kompanije ESET, koji se specijalizirao za Android malvere, rekao je Motherboardu da je ovo otkriće alarmantno, ali da ne čudi što malveri i dalje prolaze pored filtera Google Play Storea.

„Neka poboljšanja su neophodna”, rekao je Stefanko. "Google nije kompanija koja se bavi sigurnošću, možda bi trebalo da se više fokusiraju na to."

U očiglednom pokušaju da prevare žrtve da ih instaliraju, špijunske aplikacije su dizajnirane tako da izgledaju kao bezopasne aplikacije koje nude promocije lokalnih italijanskih provajdera mobilnih telefona, ili aplikacije koje poboljšavaju performanse uređaja.

Istraživači su ranije ove godine upozorili Google na ove aplikacije koje su zatim uklonjene. Google im je rekao da je pronašao ukupno 25 različitih verzija špijunskog softvera, koje datiraju iz 2016. Google je odbio da saopšti tačan broj žrtava, ali je rekao da ih je ispod 1000, i da su sve žrtve iz Italije.

Istraživači su malver nazvali nazvali Exodus, po nazivu komandnih i kontrolnih servera sa kojima su aplikacije povezane.

Exodus je programiran da deluje u dve faze. U prvoj fazi, špijunski softver se instalira i samo proverava broj telefona i IMEI - jedinstveni identifikacioni broj uređaja - verovatno da bi proverio da li je telefon cilj. Za tu svrhu, zlonamerni softver ima funkciju koja se zove "CheckValidTarget". Međutim, malver izgleda ne radi to kako bi trebalo.

Na testu koji su izveli, istraživači su videli da je nakon provere zlonamerni softver preuzeo ZIP fajl kako bi instalirao pravi malver, koji krade podatke sa telefona. U tom trenutku, malver ima pristup većini osetljivih podataka na zaraženom telefonu, kao što su audio snimci okruženja telefona, telefonski pozivi, istorija pregledanja, informacije o kalendaru, geolokacija, logovi Facebook Messengera, WhatsApp četovi i SMS poruke i drugi.

Malver takođe omogućava operaterima da šalju komande na zaraženi telefon. Prema istraživačima, pri tom ne koristi enkripciju, a uređaj je otvoren za svakog na istoj Wi-Fi mreži. To znači da svako u blizini može da hakuje zaraženi uređaj, kažu istraživači.

Svi dokazi koje su prikupili istraživači ukazuju da je malver razvila eSurv, italijanska kompanija sa sedištem u južnom gradu Katancaro, u regiji Kalabrija. Jedan zaposleni eSurva napisao je na svom profilu na LinkedInu, koji je javno dostupan, da je u sklopu svog posla u kompaniji razvio aplikaciju za prikupljanje podataka sa Android uređaja i slanje podataka na C&C server, što jasno ukazuje na Android spyware. Motherboard se obratio programeru, koji je odbio da da komentar, tvrdeći da odgovor spada u “poverljive informacije”. “Mislim da ne mogu ništa da kažem o tome", rekao je on.

Sajt je kontaktirao i eSurv više puta putem emaila i LinkedIna. U početku je jedna žena koja je zaposlena u kompaniji tvrdila da je iznenađena i šokirana zbog ovih tvrdnji, s obzirom da eSurv prodaje samo video nadzor. Nekoliko sati nakon telefonskog poziva, kompanija je ugasila svoj sajt na nekoliko nedelja. Kada je Motherboard tražio pojašnjenje, kompanija je odbila da komentariše.

Iako istraživači nisu mogli da potvrde da li su zlonamerne aplikacije razvijene za vladu, zna se da je eSurv pobedio na tenderu za italijansku policiju koja je tražila "pasivni i aktivni sistem za presretanje". To se navodi u dokumentu objavljenom na internetu u skladu sa zakonom o transparentnosti potrošnje italijanske vlade. Dokument otkriva da je eSurvu isplaćeno 307439 evra od 6. novembra 2017. godine.

Izvor blizak eSurvu, koji je tražio da ostane anoniman, potvrdio je da kompanija prodaje špijunski softver talijanskoj policiji.

"Oni objavljuju špijunski softver na Play Storeu, a zatim navode osobu da ga preuzme i otvori", rekao je izvor.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Preinstalirane Android aplikacije pune nedostataka koji ugrožavaju bezbednost telefona

Preinstalirane Android aplikacije pune nedostataka koji ugrožavaju bezbednost telefona

Ako ste ikad kupili Android telefon, onda znate da će vas kada ga prvi put uključite sačekati gomila već instaliranih aplikacija koje niste traži... Dalje

Bag u WhatsAppu omogućava napadačima da instaliraju špijunski softver na uređaju

Bag u WhatsAppu omogućava napadačima da instaliraju špijunski softver na uređaju

Prošlog meseca WhatsApp je bez mnogo buke ispravio još jedan kritičan bag u svojoj aplikaciji koji je mogao omogućiti napadačima da kompromituju... Dalje

U Google Play prodavnici otkriveno sedam aplikacija koje agresivno prikazuju reklame, troše bateriju i povećavaju potrošnju podataka

U Google Play prodavnici otkriveno sedam aplikacija koje agresivno prikazuju reklame, troše bateriju i povećavaju potrošnju podataka

Istraživači iz kompanije Wandera otkrili su u Google Play prodavnici sedam novih zlonamernih aplikacija koje sadrže dropper malver. Ove aplikacije ... Dalje

Apple zabranio aplikaciju koja pomaže korisnicima da uhode ljude koje prate na Instagramu

Apple zabranio aplikaciju koja pomaže korisnicima da uhode ljude koje prate na Instagramu

Apple je zabranio aplikaciju Like Patrol koja omogućava ljudima da prate aktivnosti drugih na Instagramu. Like Patrol je aplikacija koja je naplać... Dalje

Alijansa za odbranu aplikacija proveravaće aplikacije pre nego što budu objavljene u Play prodavnici

Alijansa za odbranu aplikacija proveravaće aplikacije pre nego što budu objavljene u Play prodavnici

Google je najavio da će udružiti snage sa kompanijama ESET, Lookout i Zimperium da bi poboljšali otkrivanje zlonamernih Android aplikacija pre neg... Dalje