U Google Play prodavnici pronađen špijunski malver koji je koristila jedna vlada

Mobilni telefoni, 01.04.2019, 11:30 AM

U Google Play prodavnici pronađen špijunski malver koji je koristila jedna vlada

Istraživači iz Security Without Borders pronašli su špijunski malver u aplikacijama na Google Play.

Prema rečima istraživača, stotine uređaja zaraženo je malverom koji se krio u nekoliko Android aplikacija koje su se mesecima nalazile u zvaničnoj Googleovoj Play prodavnici.

Ovo je još jedan u nizu slučajeva koji ukazuju na ograničenja Googleovih filtera koji imaju zadatak da spreče ulaz zlonamernog softvera u Play prodavnicu. U ovom slučaju, više od 20 zlonamernih aplikacija je ušlo neopaženo u Googleovu prodavnicu tokom otprilike dve godine.

Kako piše Motherboard, malver je italijanskoj vladi prodala kompanija koja prodaje kamere za nadzor, za koju se do sada nije znalo da proizvodi malvere. Stručnjaci kažu da su “nastradale” nevine žrtve jer je špijunski softver bio loš.

Špijunske aplikacije su otkrivene, a zatim i analizirane, u zajedničkoj istrazi istraživača iz Security Without Borders, neprofitne organizacije koja često istražuje pretnje koje se koriste protiv disidenta i zaštitnika ljudskih prava, i sajta Motherboard.

Lukas Stefanko, istraživač kompanije ESET, koji se specijalizirao za Android malvere, rekao je Motherboardu da je ovo otkriće alarmantno, ali da ne čudi što malveri i dalje prolaze pored filtera Google Play Storea.

„Neka poboljšanja su neophodna”, rekao je Stefanko. "Google nije kompanija koja se bavi sigurnošću, možda bi trebalo da se više fokusiraju na to."

U očiglednom pokušaju da prevare žrtve da ih instaliraju, špijunske aplikacije su dizajnirane tako da izgledaju kao bezopasne aplikacije koje nude promocije lokalnih italijanskih provajdera mobilnih telefona, ili aplikacije koje poboljšavaju performanse uređaja.

Istraživači su ranije ove godine upozorili Google na ove aplikacije koje su zatim uklonjene. Google im je rekao da je pronašao ukupno 25 različitih verzija špijunskog softvera, koje datiraju iz 2016. Google je odbio da saopšti tačan broj žrtava, ali je rekao da ih je ispod 1000, i da su sve žrtve iz Italije.

Istraživači su malver nazvali nazvali Exodus, po nazivu komandnih i kontrolnih servera sa kojima su aplikacije povezane.

Exodus je programiran da deluje u dve faze. U prvoj fazi, špijunski softver se instalira i samo proverava broj telefona i IMEI - jedinstveni identifikacioni broj uređaja - verovatno da bi proverio da li je telefon cilj. Za tu svrhu, zlonamerni softver ima funkciju koja se zove "CheckValidTarget". Međutim, malver izgleda ne radi to kako bi trebalo.

Na testu koji su izveli, istraživači su videli da je nakon provere zlonamerni softver preuzeo ZIP fajl kako bi instalirao pravi malver, koji krade podatke sa telefona. U tom trenutku, malver ima pristup većini osetljivih podataka na zaraženom telefonu, kao što su audio snimci okruženja telefona, telefonski pozivi, istorija pregledanja, informacije o kalendaru, geolokacija, logovi Facebook Messengera, WhatsApp četovi i SMS poruke i drugi.

Malver takođe omogućava operaterima da šalju komande na zaraženi telefon. Prema istraživačima, pri tom ne koristi enkripciju, a uređaj je otvoren za svakog na istoj Wi-Fi mreži. To znači da svako u blizini može da hakuje zaraženi uređaj, kažu istraživači.

Svi dokazi koje su prikupili istraživači ukazuju da je malver razvila eSurv, italijanska kompanija sa sedištem u južnom gradu Katancaro, u regiji Kalabrija. Jedan zaposleni eSurva napisao je na svom profilu na LinkedInu, koji je javno dostupan, da je u sklopu svog posla u kompaniji razvio aplikaciju za prikupljanje podataka sa Android uređaja i slanje podataka na C&C server, što jasno ukazuje na Android spyware. Motherboard se obratio programeru, koji je odbio da da komentar, tvrdeći da odgovor spada u “poverljive informacije”. “Mislim da ne mogu ništa da kažem o tome", rekao je on.

Sajt je kontaktirao i eSurv više puta putem emaila i LinkedIna. U početku je jedna žena koja je zaposlena u kompaniji tvrdila da je iznenađena i šokirana zbog ovih tvrdnji, s obzirom da eSurv prodaje samo video nadzor. Nekoliko sati nakon telefonskog poziva, kompanija je ugasila svoj sajt na nekoliko nedelja. Kada je Motherboard tražio pojašnjenje, kompanija je odbila da komentariše.

Iako istraživači nisu mogli da potvrde da li su zlonamerne aplikacije razvijene za vladu, zna se da je eSurv pobedio na tenderu za italijansku policiju koja je tražila "pasivni i aktivni sistem za presretanje". To se navodi u dokumentu objavljenom na internetu u skladu sa zakonom o transparentnosti potrošnje italijanske vlade. Dokument otkriva da je eSurvu isplaćeno 307439 evra od 6. novembra 2017. godine.

Izvor blizak eSurvu, koji je tražio da ostane anoniman, potvrdio je da kompanija prodaje špijunski softver talijanskoj policiji.

"Oni objavljuju špijunski softver na Play Storeu, a zatim navode osobu da ga preuzme i otvori", rekao je izvor.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Ovih dana je lako doći do aplikacija za praćenje za mobilne telefone. Ne morate ih mnogo tražiti, ima ih i u Googleovoj prodavnici Android aplikaci... Dalje

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Istraživači kompanije Symantec pokazali su nekoliko zanimljivih scenarija napada na aplikacije WhatsApp i Telegram za Android. Napad nazvan "Media F... Dalje

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa ure... Dalje

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

“Tekstualne bombe” su već duže vreme problem na iPhone uređajima, ali ovaj put je to ozbiljno, jer se može popraviti samo potpunim br... Dalje

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lukas Stefanko, iz kompanije ESET, otkrio je u Google Play prodavnici lažnu aplikaciju pod nazivom ES File Explorer. Aplikacija nije nudila korisnici... Dalje