Rana Android malware ažuriranje omogućava IM Snooping
Programeri iza Android malwarea imaju novu varijantu koja špijunira poruke u WhatsApp-u, Telegramu, Skype-u i drugim aplikacijama za instant poruke.
Istraživači su otkrili nove uzorke prethodno otkrivenog Android malwarea
Istraživači su otkrili nove uzorke prethodno otkrivenog Android malware, za koji se veruje da je povezan sa iranskom grupom za pretnju sajber špijunažom APT39. Nova varijanta dolazi sa novim mogućnostima nadzora – uključujući mogućnost pregledanja trenutnih poruka Skype, Instagram i WhatsApp žrtava. Prema američkim federalcima, programeri ovog malwarea navodno posluju pod maskom vodeće kompanije Rana Intelligence Computing Co., koja je povezana sa APT39 (takođe poznatim kao Chafer, Cadelspy, Remexi i ITG07), kao i Iranskim Ministarstvom obaveštajnih poslova i bezbednosti (MOIS).
17. septembra, američko odeljenje Ministarstva finansija za kontrolu stranih sredstava postavilo je sankcije protiv APT39, koji je od 2014. sprovodio razne kampanje zlonamernog softvera, ciljajući iranske disidente, novinare i međunarodne kompanije u sektoru putovanja. Zajedno sa sankcijama, FBI je objavio izveštaj o analizi javnih pretnji koji je istraživao nekoliko alata koje koristi Rana Corp. Istraživači su nedavno sproveli dalju analizu jednog od ovih uzoraka malwarea (com.android.providers.optimizer) i otkrili da njegova najnovija varijanta prikazuje nekoliko novih komandi. „Važno je zapamtiti da postoji mnogo razloga zbog kojih se te grupe usredsređuju na određene ciljeve“, rekli su istraživači sa ReversingLabs u analizi od ponedeljka. „Bilo da je reč o političkim neistomišljenicima, opoziciji u zemljama pod autoritarnim režimima ili korporacijama, cilj aktera pretnje je ostvarivanje monetarnih ili političkih dobitaka.“
Iako je ranije zlonamerni softver imao funkciju krađe informacija i daljinskog pristupa, istraživači su otkrili da varijanta ide korak dalje koristeći mobile accessibility services kako bi ciljala aplikacije IM za žrtve. Android-ova usluga pristupačnosti, koju su cyber kriminalci ranije koristili u Android napadima, pomaže korisnicima sa invaliditetom. Oni se pokreću u pozadini i sistem prima povratne pozive kada se pokrenu “AccessibilityEvents”. Hakeri su iskoristili ove usluge da bi stekli dozvole neophodne za prisluškivanje telefona žrtava. Ovaj zlonamerni softver koristi usluge pristupačnosti kako bi nadgledao potpunu listu poruka u komunikacionim aplikacijama, uključujući Android Instagram app, Skype, Telegram, Viber i WhatsApp.
„Pogled na nadgledane IM aplikacije dodatno dokazuje da se ovaj zlonamerni softver verovatno koristi za nadzor iranskih građana“, objasnili su istraživači. „Jedna od nadgledanih IM aplikacija je paket pod nazivom„ org.ir.talaeii “, koji je opisan kao„ nezvanični klijent Telegrama razvijen u Iranu “. Zlonamerni softver sada uključuje i razne naredbe, poput mogućnosti primanja naredbi sa servera za upravljanje i upravljanje (C2) koje se šalju SMS-om. Zlonamerni softver takođe može da fotografiše i snima audio na telefonima žrtava – kao i da automatski odgovara na pozive sa određenih brojeva telefona. „Zlonamerni softver takođe omogućava zakazivanje pokretanja uređaja u određenom trenutku, osiguravajući aktiviranje malwarea čak i kada neko isključi telefon“, rekli su istraživači.
Još jedna manje česta Android komanda koju malware koristi je mogućnost dodavanja prilagođene Wi-Fi pristupne tačke i prisiljavanje uređaja da se poveže sa njom. Istraživači veruju da je ova funkcija uvedena kako bi se izbegla moguća detekcija zbog neobičnog korišćenja prometa podataka na mobilnom nalogu žrtve.
„Ono što možemo istaći je važnost održavanja kontrole nad vašim uređajem kako bismo smanjili rizik od malwarea“, rekli su. „Na pojedinačnom nivou to uključuje saznanje koje aplikacije imaju pristup mikrofonima i osetljivim informacijama. “
Izvor: Threatpost
