U Google Play prodavnici pronađen špijunski malver koji je koristila jedna vlada

Mobilni telefoni, 01.04.2019, 11:30 AM

U Google Play prodavnici pronađen špijunski malver koji je koristila jedna vlada

Istraživači iz Security Without Borders pronašli su špijunski malver u aplikacijama na Google Play.

Prema rečima istraživača, stotine uređaja zaraženo je malverom koji se krio u nekoliko Android aplikacija koje su se mesecima nalazile u zvaničnoj Googleovoj Play prodavnici.

Ovo je još jedan u nizu slučajeva koji ukazuju na ograničenja Googleovih filtera koji imaju zadatak da spreče ulaz zlonamernog softvera u Play prodavnicu. U ovom slučaju, više od 20 zlonamernih aplikacija je ušlo neopaženo u Googleovu prodavnicu tokom otprilike dve godine.

Kako piše Motherboard, malver je italijanskoj vladi prodala kompanija koja prodaje kamere za nadzor, za koju se do sada nije znalo da proizvodi malvere. Stručnjaci kažu da su “nastradale” nevine žrtve jer je špijunski softver bio loš.

Špijunske aplikacije su otkrivene, a zatim i analizirane, u zajedničkoj istrazi istraživača iz Security Without Borders, neprofitne organizacije koja često istražuje pretnje koje se koriste protiv disidenta i zaštitnika ljudskih prava, i sajta Motherboard.

Lukas Stefanko, istraživač kompanije ESET, koji se specijalizirao za Android malvere, rekao je Motherboardu da je ovo otkriće alarmantno, ali da ne čudi što malveri i dalje prolaze pored filtera Google Play Storea.

„Neka poboljšanja su neophodna”, rekao je Stefanko. "Google nije kompanija koja se bavi sigurnošću, možda bi trebalo da se više fokusiraju na to."

U očiglednom pokušaju da prevare žrtve da ih instaliraju, špijunske aplikacije su dizajnirane tako da izgledaju kao bezopasne aplikacije koje nude promocije lokalnih italijanskih provajdera mobilnih telefona, ili aplikacije koje poboljšavaju performanse uređaja.

Istraživači su ranije ove godine upozorili Google na ove aplikacije koje su zatim uklonjene. Google im je rekao da je pronašao ukupno 25 različitih verzija špijunskog softvera, koje datiraju iz 2016. Google je odbio da saopšti tačan broj žrtava, ali je rekao da ih je ispod 1000, i da su sve žrtve iz Italije.

Istraživači su malver nazvali nazvali Exodus, po nazivu komandnih i kontrolnih servera sa kojima su aplikacije povezane.

Exodus je programiran da deluje u dve faze. U prvoj fazi, špijunski softver se instalira i samo proverava broj telefona i IMEI - jedinstveni identifikacioni broj uređaja - verovatno da bi proverio da li je telefon cilj. Za tu svrhu, zlonamerni softver ima funkciju koja se zove "CheckValidTarget". Međutim, malver izgleda ne radi to kako bi trebalo.

Na testu koji su izveli, istraživači su videli da je nakon provere zlonamerni softver preuzeo ZIP fajl kako bi instalirao pravi malver, koji krade podatke sa telefona. U tom trenutku, malver ima pristup većini osetljivih podataka na zaraženom telefonu, kao što su audio snimci okruženja telefona, telefonski pozivi, istorija pregledanja, informacije o kalendaru, geolokacija, logovi Facebook Messengera, WhatsApp četovi i SMS poruke i drugi.

Malver takođe omogućava operaterima da šalju komande na zaraženi telefon. Prema istraživačima, pri tom ne koristi enkripciju, a uređaj je otvoren za svakog na istoj Wi-Fi mreži. To znači da svako u blizini može da hakuje zaraženi uređaj, kažu istraživači.

Svi dokazi koje su prikupili istraživači ukazuju da je malver razvila eSurv, italijanska kompanija sa sedištem u južnom gradu Katancaro, u regiji Kalabrija. Jedan zaposleni eSurva napisao je na svom profilu na LinkedInu, koji je javno dostupan, da je u sklopu svog posla u kompaniji razvio aplikaciju za prikupljanje podataka sa Android uređaja i slanje podataka na C&C server, što jasno ukazuje na Android spyware. Motherboard se obratio programeru, koji je odbio da da komentar, tvrdeći da odgovor spada u “poverljive informacije”. “Mislim da ne mogu ništa da kažem o tome", rekao je on.

Sajt je kontaktirao i eSurv više puta putem emaila i LinkedIna. U početku je jedna žena koja je zaposlena u kompaniji tvrdila da je iznenađena i šokirana zbog ovih tvrdnji, s obzirom da eSurv prodaje samo video nadzor. Nekoliko sati nakon telefonskog poziva, kompanija je ugasila svoj sajt na nekoliko nedelja. Kada je Motherboard tražio pojašnjenje, kompanija je odbila da komentariše.

Iako istraživači nisu mogli da potvrde da li su zlonamerne aplikacije razvijene za vladu, zna se da je eSurv pobedio na tenderu za italijansku policiju koja je tražila "pasivni i aktivni sistem za presretanje". To se navodi u dokumentu objavljenom na internetu u skladu sa zakonom o transparentnosti potrošnje italijanske vlade. Dokument otkriva da je eSurvu isplaćeno 307439 evra od 6. novembra 2017. godine.

Izvor blizak eSurvu, koji je tražio da ostane anoniman, potvrdio je da kompanija prodaje špijunski softver talijanskoj policiji.

"Oni objavljuju špijunski softver na Play Storeu, a zatim navode osobu da ga preuzme i otvori", rekao je izvor.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje

Signal uveo podršku za korisnička imena u aplikaciji

Signal uveo podršku za korisnička imena u aplikaciji

Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje