Android Malware υποκλέπτει δεδομένα από Facebook Messenger, Skype, Viber

Ερευνητές ασφαλείας ανακάλυψαν ένα νέο για που έχει σχεδιαστεί για να κλέβει δεδομένα από εφαρμογές ανταλλαγής μηνυμάτων. Το νέο είναι πολύ απλό στο σχεδιασμό του, σύμφωνα με ένα ερευνητή της Trustlook.

Το trojan όπως αναφέραμε παραπάνω έχει περιορισμένες δυνατότητες και αμέσως μετά την είσοδό του στο σύστημα το πρώτο που κάνει είναι να αποκτήσει έλεγχο στο boot της συσκευής αποσυμπιέζοντας τον κώδικα του από την μολυσμένη εφαρμογή που το έφερε στο σύστημα.Android
Ο κώδικας θα προσπαθήσει να τροποποιήσει το αρχείο “/system/etc/install-recovery.sh”, κάτι που επιτρέπει την εκτέλεση του κακόβουλου λογισμικού μετά από κάθε εκκίνηση.

Αμέσως μετά το κακόβουλο λογισμικό αρχίζει να αναζητά τα δεδομένα σας από τις παρακάτω εφαρμογές ανταλλαγής μηνυμάτων:

Click για να δείτε τη λίστα

Facebook Messenger
Skype
Telegram
Twitter
WeChat
Weibo
Viber
Line
Coco
BeeTalk
Momo
Voxer Walkie Talkie Messenger
Gruveo Magic Call
TalkBox Voice Messenger

Όλα τα δεδομένα που συλλέγει τα ανεβάζει σε κάποιον απομακρυσμένο διακομιστή. Το malware έχει αποθηκευμένη την διεύθυνση IP του διακομιστή σε ένα αρχείο ρυθμίσεων που αποθηκεύει τοπικά στην συσκευή του θύματος.

  DuckDuckGo App Tracking Protection για τους χρήστες του Android

Οι ερευνητές ανακάλυψαν το κακόβουλο λογισμικό σε μια εφαρμογή που ονομάζεται Cloud Module (στα κινέζικα), που έχει σαν όνομα πακέτου το com.android.boxa.

Οι ερευνητές της Trustlook αναφέρουν ότι παρά του ότι το κακόβουλο λογισμικό δεν κάνει τίποτα άλλο πέρα από την κλοπή δεδομένων από τις τοπικές εφαρμογές άμεσων μηνυμάτων, φέρεται χρησιμοποιεί πολύ προηγμένες τεχνικές που το κάνουν σχεδόν αόρατο. Για παράδειγμα, χρησιμοποιεί τεχνικές ανίχνευσης anti-emulator και debugger για την αποφυγή κάποιας δυναμικής ανάλυσης και μέσα στον κωδικά του κρύβει strings για να ανατρέψει αποτυχημένες προσπάθειες αντιστροφής του κακόβουλου κώδικα.

Έτσι είναι αρκετά περίεργο το γεγονός ότι το συγκεκριμένο malware για Android διαθέτει μόνο μία μόνο λειτουργία, δηλαδή την εξαγωγή και την απομάκρυνση δεδομένων από εφαρμογές μηνυμάτων.

Μια θεωρία για αυτή την επιλογή των προγραμματιστών θα μπορούσε να ήταν ότι οι εισβολείς απλά συλλέγουν ιδιωτικές συνομιλίες, εικόνες και βίντεο, για να εντοπίσουν ευαίσθητα δεδομένα που μπορούν να χρησιμοποιήσουν για να εκβιάσουν τα θύματά τους, ειδικά αν είναι υψηλού προφίλ.

  VPN, αμβλώσεις και FTC

Οι ερευνητές δεν ανέφεραν κάποια επιπλέον πληροφορία για τις μεθόδους διανομής του κακόβουλου λογισμικού, αλλά λαμβάνοντας υπόψη ότι το κακόβουλο λογισμικό έχει Κινέζικο όνομα και ότι δεν υπάρχει σε κάποιο , οι δημιουργοί του ενδέχεται να το διανέμουν μέσω store τρίτων ή με links που δημοσιεύονται σε κάποιο Android forum.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


19  +    =  23