U Google Play prodavnici pronađen špijunski malver koji je koristila jedna vlada

Mobilni telefoni, 01.04.2019, 11:30 AM

U Google Play prodavnici pronađen špijunski malver koji je koristila jedna vlada

Istraživači iz Security Without Borders pronašli su špijunski malver u aplikacijama na Google Play.

Prema rečima istraživača, stotine uređaja zaraženo je malverom koji se krio u nekoliko Android aplikacija koje su se mesecima nalazile u zvaničnoj Googleovoj Play prodavnici.

Ovo je još jedan u nizu slučajeva koji ukazuju na ograničenja Googleovih filtera koji imaju zadatak da spreče ulaz zlonamernog softvera u Play prodavnicu. U ovom slučaju, više od 20 zlonamernih aplikacija je ušlo neopaženo u Googleovu prodavnicu tokom otprilike dve godine.

Kako piše Motherboard, malver je italijanskoj vladi prodala kompanija koja prodaje kamere za nadzor, za koju se do sada nije znalo da proizvodi malvere. Stručnjaci kažu da su “nastradale” nevine žrtve jer je špijunski softver bio loš.

Špijunske aplikacije su otkrivene, a zatim i analizirane, u zajedničkoj istrazi istraživača iz Security Without Borders, neprofitne organizacije koja često istražuje pretnje koje se koriste protiv disidenta i zaštitnika ljudskih prava, i sajta Motherboard.

Lukas Stefanko, istraživač kompanije ESET, koji se specijalizirao za Android malvere, rekao je Motherboardu da je ovo otkriće alarmantno, ali da ne čudi što malveri i dalje prolaze pored filtera Google Play Storea.

„Neka poboljšanja su neophodna”, rekao je Stefanko. "Google nije kompanija koja se bavi sigurnošću, možda bi trebalo da se više fokusiraju na to."

U očiglednom pokušaju da prevare žrtve da ih instaliraju, špijunske aplikacije su dizajnirane tako da izgledaju kao bezopasne aplikacije koje nude promocije lokalnih italijanskih provajdera mobilnih telefona, ili aplikacije koje poboljšavaju performanse uređaja.

Istraživači su ranije ove godine upozorili Google na ove aplikacije koje su zatim uklonjene. Google im je rekao da je pronašao ukupno 25 različitih verzija špijunskog softvera, koje datiraju iz 2016. Google je odbio da saopšti tačan broj žrtava, ali je rekao da ih je ispod 1000, i da su sve žrtve iz Italije.

Istraživači su malver nazvali nazvali Exodus, po nazivu komandnih i kontrolnih servera sa kojima su aplikacije povezane.

Exodus je programiran da deluje u dve faze. U prvoj fazi, špijunski softver se instalira i samo proverava broj telefona i IMEI - jedinstveni identifikacioni broj uređaja - verovatno da bi proverio da li je telefon cilj. Za tu svrhu, zlonamerni softver ima funkciju koja se zove "CheckValidTarget". Međutim, malver izgleda ne radi to kako bi trebalo.

Na testu koji su izveli, istraživači su videli da je nakon provere zlonamerni softver preuzeo ZIP fajl kako bi instalirao pravi malver, koji krade podatke sa telefona. U tom trenutku, malver ima pristup većini osetljivih podataka na zaraženom telefonu, kao što su audio snimci okruženja telefona, telefonski pozivi, istorija pregledanja, informacije o kalendaru, geolokacija, logovi Facebook Messengera, WhatsApp četovi i SMS poruke i drugi.

Malver takođe omogućava operaterima da šalju komande na zaraženi telefon. Prema istraživačima, pri tom ne koristi enkripciju, a uređaj je otvoren za svakog na istoj Wi-Fi mreži. To znači da svako u blizini može da hakuje zaraženi uređaj, kažu istraživači.

Svi dokazi koje su prikupili istraživači ukazuju da je malver razvila eSurv, italijanska kompanija sa sedištem u južnom gradu Katancaro, u regiji Kalabrija. Jedan zaposleni eSurva napisao je na svom profilu na LinkedInu, koji je javno dostupan, da je u sklopu svog posla u kompaniji razvio aplikaciju za prikupljanje podataka sa Android uređaja i slanje podataka na C&C server, što jasno ukazuje na Android spyware. Motherboard se obratio programeru, koji je odbio da da komentar, tvrdeći da odgovor spada u “poverljive informacije”. “Mislim da ne mogu ništa da kažem o tome", rekao je on.

Sajt je kontaktirao i eSurv više puta putem emaila i LinkedIna. U početku je jedna žena koja je zaposlena u kompaniji tvrdila da je iznenađena i šokirana zbog ovih tvrdnji, s obzirom da eSurv prodaje samo video nadzor. Nekoliko sati nakon telefonskog poziva, kompanija je ugasila svoj sajt na nekoliko nedelja. Kada je Motherboard tražio pojašnjenje, kompanija je odbila da komentariše.

Iako istraživači nisu mogli da potvrde da li su zlonamerne aplikacije razvijene za vladu, zna se da je eSurv pobedio na tenderu za italijansku policiju koja je tražila "pasivni i aktivni sistem za presretanje". To se navodi u dokumentu objavljenom na internetu u skladu sa zakonom o transparentnosti potrošnje italijanske vlade. Dokument otkriva da je eSurvu isplaćeno 307439 evra od 6. novembra 2017. godine.

Izvor blizak eSurvu, koji je tražio da ostane anoniman, potvrdio je da kompanija prodaje špijunski softver talijanskoj policiji.

"Oni objavljuju špijunski softver na Play Storeu, a zatim navode osobu da ga preuzme i otvori", rekao je izvor.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

U Play prodavnici pronađene aplikacije za selfi koje snimaju zvuk bez dozvole korisnika i prikazuju reklame preko celog ekrana

U Play prodavnici pronađene aplikacije za selfi koje snimaju zvuk bez dozvole korisnika i prikazuju reklame preko celog ekrana

U Google Play prodavnici otkrivene su aplikacije koje tajno snimaju zvuk bez odobrenja korisnika. Aplikacije su predstavljane kao filteri selfi kamere... Dalje

24 aplikacije u Google Play prodavnici zaražene malverom Joker

24 aplikacije u Google Play prodavnici zaražene malverom Joker

Istraživač Aleksejs Kuprins otkrio je novog trojanca koji je zarazio 24 aplikacije u Google Play prodavnici koje zajedno imaju više od 472 000 inst... Dalje

iOS 13 uhvatio Facebookovu aplikaciju kako pokušava da koristi Bluetooth za prikupljanje podata o lokaciji korisnika

iOS 13 uhvatio Facebookovu aplikaciju kako pokušava da koristi Bluetooth za prikupljanje podata o lokaciji korisnika

Nova funkcija u iOS 13, koji će ovog meseca biti isporučen na podržane modele iPhonea, uhvatila je aplikaciju Facebook kako pokušava da dobije Bl... Dalje

iPhone uređaji godinama bili neprimetno hakovani na nekim sajtovima

iPhone uređaji godinama bili neprimetno hakovani na nekim sajtovima

Google je otkrio veliku ranjivost iPhonea koja omogućava napadačima da dobiju pristup telefonima, uključujući kontakte, ćaskanja, baze podataka... Dalje

Apple od jeseni nastavlja sa programom pregleda snimaka Siri, ali najavljuje promene

Apple od jeseni nastavlja sa programom pregleda snimaka Siri, ali najavljuje promene

Apple je najavio neke značajne promene u svom kontroverznom programu za ocenjivanje zvuka koji snima Siri, posle kritika koje su usledile zbog toga ... Dalje