Ερευνητές ασφαλείας ανακάλυψαν ένα νέο malware για Android που έχει σχεδιαστεί για να κλέβει δεδομένα από εφαρμογές ανταλλαγής μηνυμάτων. Το νέο trojan είναι πολύ απλό στο σχεδιασμό του, σύμφωνα με ένα ερευνητή της Trustlook.
Το trojan όπως αναφέραμε παραπάνω έχει περιορισμένες δυνατότητες και αμέσως μετά την είσοδό του στο σύστημα το πρώτο που κάνει είναι να αποκτήσει έλεγχο στο boot της συσκευής αποσυμπιέζοντας τον κώδικα του από την μολυσμένη εφαρμογή που το έφερε στο σύστημα.
Ο κώδικας θα προσπαθήσει να τροποποιήσει το αρχείο “/system/etc/install-recovery.sh”, κάτι που επιτρέπει την εκτέλεση του κακόβουλου λογισμικού μετά από κάθε εκκίνηση.
Αμέσως μετά το κακόβουλο λογισμικό αρχίζει να αναζητά τα δεδομένα σας από τις παρακάτω εφαρμογές ανταλλαγής μηνυμάτων:
Όλα τα δεδομένα που συλλέγει τα ανεβάζει σε κάποιον απομακρυσμένο διακομιστή. Το malware έχει αποθηκευμένη την διεύθυνση IP του διακομιστή σε ένα αρχείο ρυθμίσεων που αποθηκεύει τοπικά στην συσκευή του θύματος.
Οι ερευνητές ανακάλυψαν το κακόβουλο λογισμικό σε μια εφαρμογή που ονομάζεται Cloud Module (στα κινέζικα), που έχει σαν όνομα πακέτου το com.android.boxa.
Οι ερευνητές της Trustlook αναφέρουν ότι παρά του ότι το κακόβουλο λογισμικό δεν κάνει τίποτα άλλο πέρα από την κλοπή δεδομένων από τις τοπικές εφαρμογές άμεσων μηνυμάτων, φέρεται χρησιμοποιεί πολύ προηγμένες τεχνικές που το κάνουν σχεδόν αόρατο. Για παράδειγμα, χρησιμοποιεί τεχνικές ανίχνευσης anti-emulator και debugger για την αποφυγή κάποιας δυναμικής ανάλυσης και μέσα στον κωδικά του κρύβει strings για να ανατρέψει αποτυχημένες προσπάθειες αντιστροφής του κακόβουλου κώδικα.
Έτσι είναι αρκετά περίεργο το γεγονός ότι το συγκεκριμένο malware για Android διαθέτει μόνο μία μόνο λειτουργία, δηλαδή την εξαγωγή και την απομάκρυνση δεδομένων από εφαρμογές μηνυμάτων.
Μια θεωρία για αυτή την επιλογή των προγραμματιστών θα μπορούσε να ήταν ότι οι εισβολείς απλά συλλέγουν ιδιωτικές συνομιλίες, εικόνες και βίντεο, για να εντοπίσουν ευαίσθητα δεδομένα που μπορούν να χρησιμοποιήσουν για να εκβιάσουν τα θύματά τους, ειδικά αν είναι υψηλού προφίλ.
Οι ερευνητές δεν ανέφεραν κάποια επιπλέον πληροφορία για τις μεθόδους διανομής του κακόβουλου λογισμικού, αλλά λαμβάνοντας υπόψη ότι το κακόβουλο λογισμικό έχει Κινέζικο όνομα και ότι δεν υπάρχει σε κάποιο Store, οι δημιουργοί του ενδέχεται να το διανέμουν μέσω store τρίτων ή με links που δημοσιεύονται σε κάποιο Android forum.
- Windows 7: μπορεί μια ενημέρωση να κάνει το σύστημα πιο ευάλωτο;
- Μηνύσεις στο Facebook από χρήστες του Messenger
