Android Malware υποκλέπτει δεδομένα από Facebook Messenger, Skype, Viber

Ερευνητές ασφαλείας ανακάλυψαν ένα νέο malware για Android που έχει σχεδιαστεί για να κλέβει δεδομένα από εφαρμογές ανταλλαγής μηνυμάτων. Το νέο είναι πολύ απλό στο σχεδιασμό του, σύμφωνα με ένα ερευνητή της Trustlook.

Το trojan όπως αναφέραμε παραπάνω έχει περιορισμένες δυνατότητες και αμέσως μετά την είσοδό του στο σύστημα το πρώτο που κάνει είναι να αποκτήσει έλεγχο στο boot της ς αποσυμπιέζοντας τον κώδικα του από την μολυσμένη εφαρμογή που το έφερε στο σύστημα.Android
Ο κώδικας θα προσπαθήσει να τροποποιήσει το “/system/etc/install-.sh”, κάτι που επιτρέπει την εκτέλεση του κακόβουλου λογισμικού μετά από κάθε εκκίνηση.

Αμέσως μετά το κακόβουλο λογισμικό αρχίζει να αναζητά τα δεδομένα σας από τις παρακάτω εφαρμογές ανταλλαγής μηνυμάτων:

Click για να δείτε τη λίστα

Messenger
Skype
Telegram
Twitter

Weibo
Viber
Line
Coco
BeeTalk
Momo
Voxer Walkie Talkie Messenger
Gruveo Magic Call
TalkBox Voice Messenger

Όλα τα δεδομένα που συλλέγει τα ανεβάζει σε κάποιον απομακρυσμένο διακομιστή. Το malware έχει αποθηκευμένη την διεύθυνση του διακομιστή σε ένα αρχείο ρυθμίσεων που αποθηκεύει τοπικά στην συσκευή του θύματος.

Οι ερευνητές ανακάλυψαν το κακόβουλο λογισμικό σε μια εφαρμογή που ονομάζεται Cloud Module (στα κινέζικα), που έχει σαν όνομα πακέτου το com.android.boxa.

Οι ερευνητές της Trustlook αναφέρουν ότι παρά του ότι το κακόβουλο λογισμικό δεν κάνει τίποτα άλλο πέρα από την κλοπή δεδομένων από τις τοπικές εφαρμογές άμεσων μηνυμάτων, φέρεται χρησιμοποιεί πολύ προηγμένες τεχνικές που το κάνουν σχεδόν αόρατο. Για παράδειγμα, χρησιμοποιεί τεχνικές ανίχνευσης anti-emulator και debugger για την αποφυγή κάποιας δυναμικής ανάλυσης και μέσα στον κωδικά του κρύβει strings για να ανατρέψει αποτυχημένες προσπάθειες αντιστροφής του κακόβουλου κώδικα.

Έτσι είναι αρκετά περίεργο το γεγονός ότι το συγκεκριμένο malware για Android διαθέτει μόνο μία μόνο , δηλαδή την εξαγωγή και την απομάκρυνση δεδομένων από εφαρμογές μηνυμάτων.

Μια θεωρία για αυτή την επιλογή των προγραμματιστών θα μπορούσε να ήταν ότι οι εισβολείς απλά συλλέγουν ιδιωτικές συνομιλίες, εικόνες και βίντεο, για να εντοπίσουν ευαίσθητα δεδομένα που μπορούν να χρησιμοποιήσουν για να εκβιάσουν τα θύματά τους, ειδικά αν είναι υψηλού προφίλ.

Οι ερευνητές δεν ανέφεραν κάποια επιπλέον πληροφορία για τις μεθόδους διανομής του κακόβουλου λογισμικού, αλλά λαμβάνοντας υπόψη ότι το κακόβουλο λογισμικό έχει Κινέζικο όνομα και ότι δεν υπάρχει σε κάποιο Store, οι δημιουργοί του ενδέχεται να το διανέμουν μέσω store τρίτων ή με links που δημοσιεύονται σε κάποιο Android .

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).