Ερευνητές ασφαλείας από το Doctor Web έχουν ανακαλύψει ένα νέο Αndroid Trojan, το οποίο φαίνεται να διαδίδεται στους χρήστες με σκοπό την παρακολούθηση των θυμάτων.
Το προηγούμενο διάστημα, οι ερευνητές βρήκαν ένα Android Trojan, το οποίο μοιράζει ένα πιστοποιητικό ασφαλείας που φέρεται να είναι έγκυρο και αξιόπιστο με σκοπό να εγκατασταθεί στις συσκευές των χρηστών.
Αυτό το Trojan περιλαμβάνει το χαρακτηριστικό ασφαλείας two-Step authentication και στη συνέχεια μολύνει τη συσκευή του χρήστη με ένα νέο malware, το οποίο είναι ικανό να υποκλέψει τα μηνύματά τους και να τα προωθήσει στους cyber criminals.
Το Trojan με την ονομασία Android.Backdoor.260.origin μπορεί να υποκλέψει μηνύματα SMS, να καταγράψει τηλεφωνικές συνομιλίες, να εντοπίσει μέσω GPS τις συσκευές με τις οποίες επικοινωνεί η μολυσμένη, να κάνει λήψη screenshots, ακόμα και να συλλέγει δεδομένα που εισάγονται από τον χρήστη.
“Εξαιτίας του γεγονότος ότι το Android.Backdoor.260.origin μοιράζεται ως “AndroidUpdate”, τα εν δυνάμει θύματα είναι περισσότερο πιθανό να το εγκαταστήσουν τελικώς στις κινητές συσκευές τους,” δηλώνουν οι ερευνητές.
Σύμφωνα τους ερευνητές λοιπόν, το Trojan έχει τα τυπικά βασικά κακόβουλα χαρακτηριστικά ενός malware software package.
Από την στιγμή που ενεργοποιηθεί, το Trojan εξάγει όλα τα ακόλουθα πρόσθετα στοιχεία: super, detect, liblocSDK4b.so, libnativeLoad.so, libPowerDetect.cy.so, 1.dat, libstay2.so, libsleep4.so, substrate_signed.apk and cInstall.
«Στη συνέχεια, προσπαθεί να τρέξει το αρχείο binary cInstall (βρέθηκε από το Dr.Web ως Android.BackDoor.41) με root privileges.
Εάν η προσπάθεια αυτή είναι επιτυχής, το κακόβουλο στοιχείο εμφυτεύει έναν αριθμό αρχείων που έχουν εξαχθεί νωρίτερα στους φακέλους του συστήματος και προσπαθεί να εγκαταστήσει ένα πρόγραμμα που ονομάζεται “Substrate”.
Αυτό το εργαλείο επεκτείνει την λειτουργικότητα των εφαρμογών και χρησιμοποιείται από το Android.Backdoor.260.origin για να υποκλέπτει τα εισαγόμενα δεδομένα. Εάν το Trojan δεν επιτύχει την λήψη των root privileges, τότε πολύ πιθανόν, να αποτύχει να εγκαταστήσει και τα απαραίτητα στοιχεία.
Ως εκ τούτου, το malware δεν θα είναι σε θέση να εκτελέσει την πλειονότητα των λειτουργιών του σωστά,” σύμφωνα με τη δήλωση των ερευνητών.
Από την στιγμή που τα modules θα εγκατασταθούν, το Trojan αφαιρεί την συντόμευση που δημιούργησε προτύτερα και ξεκινά την κακόβουλη υπηρεσία με την ονομασία PowerDetectService, η οποία τρέχει τοκακόβουλο module με την ονομασία libnativeLoad.so.
“Στην πραγματικότητα, αυτό το εργαλείο δεν είναι ακριβώς κακόβουλο, και μπορεί να μεταφορτωθεί από το Google Play εύκολα.
Παρ’ όλο αυτά, οι cyber criminals έχουν τροποποιήσει το πρωτότυπο application και πρόσθεσαν στη νέα έκδοση το Android.Backdoor.260.origin. Ως εκ τούτου, το εργαλείο έγινε πραγματικά επικίνδυνο για τις κινητές συσκευές,” εξηγούν οι ερευνητές.
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου