Výskumníci objavili nový trójsky kôň kradnúci informácie, ktorý sa zameriava na zariadenia so systémom Android s náporom možností exfiltrácie údajov – od zhromažďovania vyhľadávaní v prehliadači až po nahrávanie zvuku a telefonických hovorov.
Zatiaľ čo malvér v systéme Android predtým prevzal masku napodobňujúcich aplikácií, ktoré majú podobné názvy ako legitímne časti softvéru, táto nová sofistikovaná škodlivá aplikácia sa maskuje ako aplikácia Aktualizácia systému, ktorá má prevziať kontrolu nad napadnutými zariadeniami.
„Spyware vytvorí upozornenie, ak je obrazovka zariadenia vypnutá, keď dostane príkaz pomocou služby posielania správ Firebase,“ uviedli vedci Zimperium v piatkovej analýze. „Vyhľadávanie aktualizácií…“ nie je legitímne upozornenie operačného systému, ale spyware.“
Po nainštalovaní sa sofistikovaná spywarová kampaň pustí do svojej úlohy registráciou zariadenia na serveri Firebase Command-and-Control (C2) s informáciami, ako je percento batérie, štatistiky úložiska a či je v telefóne nainštalovaný WhatsApp, po čom nasleduje zhromaždenie a export akékoľvek údaje, ktoré server zaujíma, vo forme zašifrovaného súboru ZIP.
Spyware obsahuje nespočetné množstvo funkcií so zameraním na utajenie, vrátane taktiky krádeže kontaktov, záložiek prehliadača a histórie vyhľadávania, kradnutia správ zneužívaním služieb dostupnosti, nahrávania zvuku a telefonických hovorov a fotografovania pomocou kamier telefónu. Dokáže tiež sledovať polohu obete, vyhľadávať súbory so špecifickými príponami a získavať údaje zo schránky zariadenia.
„Funkčnosť spywaru a exfiltrácia údajov sa spúšťajú za viacerých podmienok, ako je pridanie nového kontaktu, prijatá nová SMS alebo nová aplikácia nainštalovaná pomocou Android contentObserver a Broadcast prijímačov,“ uviedli vedci.
A čo viac, malvér nielenže organizuje zhromaždené údaje do niekoľkých priečinkov vo svojom súkromnom úložisku, ale tiež odstraňuje akékoľvek stopy zákernej aktivity odstránením súborov ZIP, len čo dostane správu o „úspechu“ od servera C2 po exfiltrácii. V ďalšej snahe vyhnúť sa detekcii a letieť pod radarom, spyware tiež znižuje spotrebu šírky pásma nahrávaním miniatúr na rozdiel od skutočných obrázkov a videí prítomných v externom úložisku.
Hoci aplikácia „Aktualizácia systému“ nebola nikdy distribuovaná prostredníctvom oficiálneho Google Play Store, výskum opäť zdôrazňuje, ako môžu obchody s aplikáciami tretích strán skrývať nebezpečný malvér. Identita autorov malvéru, cielených obetí a konečný motív kampane zostáva zatiaľ nejasný.
