Η εταιρεία ασφαλείας Doctor Web ανακάλυψε ένα νέο κακόβουλο λογισμικό για Android. Το νέο malware μπορεί να υποκλέψει τα εισερχόμενα μηνύματα σας και να τα προωθεί στους εγκληματίες. Μόλις εγκατασταθεί, το Trojan μπορεί να χρησιμοποιηθεί για να κλέψει μηνύματα για εκβιασμό σκοπούς ή μηνύματα που ίσως περιέχουν κωδικούς που χρησιμοποιούνται για την είσοδο σε τραπεζικούς λογαριασμούς.
Το εν λόγω malware ανιχνεύεται σαν “Android.Pincer.2.origin” από την ρωσική εταιρεία Doctor Web και όπως αναφέρουν είναι μια παραλλαγή της οικογένειας Android.Pincer.
Αν μια συσκευή μολυνθεί από το Android.Pincer.2.origin, ο χρήστης θα δει μια ψεύτικη ειδοποίηση για την επιτυχή εγκατάσταση ενός πιστοποιητικού, και μετά από αυτό, τίποτα άλλο καθώς το trojan δεν θα εκτελέσει καμία αξιοσημείωτη δραστηριότητα για λίγο.
Το κακόβουλο λογισμικό φορτώνεται κατά την εκκίνηση μέσω του CheckCommandServices, μια υπηρεσία που λειτουργεί αθόρυβα στο παρασκήνιο. Στη συνέχεια, θα συνδεθεί με έναν απομακρυσμένο διακομιστή και θα αρχίσει να στέλνει πληροφορίες σχετικά με την κινητή συσκευή που έχει εγκατασταθεί. Δίνει πλήρη αναφορά σε εκείνους που είναι πίσω από την επίθεση: για το μοντέλο της συσκευής, τον αριθμό σειράς της συσκευής, IMEI, τον φορέα, τον αριθμό τηλεφώνου, την προεπιλεγμένη γλώσσα του συστήματος, το λειτουργικό σύστημα, και αν υπάρχει πρόσβαση του λογαριασμού στο root .
To malware στη συνέχεια λαμβάνει οδηγίες από εντολές με την εξής μορφή:
- start_sms_forwarding [telephone number]— begin intercepting communications from a specified number
- stop_sms_forwarding — stop intercepting messages
- send_sms [phone number and text] — send a short message using the specified parameters
- simple_execute_ussd — send a USSD message
- stop_program—stop working
- show_message—display a message on the screen of the mobile device
- set_urls – change the address of the control server
- ping – send an SMS containing the text ‘pong’ to a previously specified number
- set_sms_number—change the number to which messages containing the text string ‘pong’ are sent.
Η πρώτη εντολή επιτρέπει στους επιτιθέμενους να λάβουν τον αριθμό από τον οποίο το trojan θα πρέπει να υποκλέψει τα μηνύματα, κάτι που σημαίνει ότι μπορεί να χρησιμοποιηθεί για στοχευμένες επιθέσεις και για να κλέψουν συγκεκριμένα μηνύματα. Η τρίτη από το τέλος δείχνει ότι οι εγκληματίες έχουν φροντίσει να προγραμματίσουν αλλαγή servers σε περίπτωση που πιστεύουν ότι αυτός που χρησιμοποιούν θα κλείσει.
Από την Doctor Web αναφέρουν ότι το νέο κακόβουλο λογισμικό δεν είναι ακόμα πολύ διαδεδομένο. Δεν έχει ανακαλυφθεί ακόμη στο Google Play, απ’όπου οι περισσότεροι ιδιοκτήτες συσκευών με Android θα κατεβάζουν τις εφαρμογές τους, και φαίνεται να προορίζεται για συγκεκριμένες επιθέσεις.
Με λίγα λόγια, αυτό το malware δεν είναι αυτό που είναι πιθανό να σας χτυπήσει, αλλά είναι πολύ ενδιαφέρον να δούμε πώς εξελίσσονται τα Android malware εξελίσσεται, αναφέρει το thenextweb.com. Η συμβουλή μας είναι η ίδια όπως πάντα: χρησιμοποιείτε ΜΟΝΟ εφαρμογές που ξέρετε ότι είναι ασφαλείς.
