Jeśli lata 2021-2022 charakteryzowały się różnymi atakami na sieć, to lata 2021-2022 nie są daleko w tyle i to od początku roku byliśmy świadkami nowego złośliwego oprogramowania, które atakowało i infekowało różne systemy operacyjne.
A jeśli mówimy o atakach, Android bez wątpienia zawsze znajdował się na celowniku cyberprzestępców. Pomimo wysiłków Google mających na celu zwiększenie bezpieczeństwa systemu, aplikacji oszustów, które wkradły się do Sklepu Play, było wiele.
Tym razem nie mówimy o nielegalnej aplikacji ze Sklepu Play, ale o złośliwym oprogramowaniu typu trojan, które zostało wykryte na telefonach komórkowych z systemem operacyjnym Android. To złośliwe oprogramowanie próbuje ukraść nasze prywatne dane za pośrednictwem aplikacji do obsługi wiadomości błyskawicznych.
Gdzie i jak działa to złośliwe oprogramowanie?
To złośliwe oprogramowanie zostało wykryte przez badaczy bezpieczeństwa z Trustlook, firmy zajmującej się cyberbezpieczeństwem. Jak informowaliśmy, główną funkcją tego trojana jest kradzież naszych danych za pośrednictwem różnych aplikacji, takich jak:
Aplikacje, których dotyczy problem
- komunikator facebookowy
- Skype
- Komunikator telegramu
- Viber
- BeeTalk
- Linia
- Świergot
Po zainfekowaniu aplikacji złośliwe oprogramowanie będzie próbowało zmodyfikować plik Androida /system/etc/install-recovery.sh, aby za każdym razem, gdy otwieramy aplikację, był uruchamiany. Po wykradaniu danych z tych aplikacji komunikacyjnych przesyła je na zdalny serwer, aby później trojan mógł pobrać adres IP tego serwera z lokalnego pliku konfiguracyjnego.
Ten trojan na Androida kradnie Twoje dane
Pomimo tego, że jego konstrukcja nie jest zbyt wyrafinowana, prawdą jest, że wykorzystuje pewne zaawansowane techniki uników. Zaciemniając plik konfiguracyjny i część modułów w celu uniknięcia wykrycia, utrudnia programowi antywirusowemu wykrycie Twojej obecności. Wykorzystuje również techniki unikania analizy dynamicznej i jest w stanie ukryć ciągi znaków w swoim kodzie źródłowym.
Według badaczy to złośliwe oprogramowanie znajduje się w chińskiej aplikacji o nazwie Clud Module o nazwie pakietu com.android.boxa, więc jest prawdopodobne, że rozprzestrzenia się za pośrednictwem forów Android Apps lub sklepów z aplikacjami innych firm.
Niewątpliwie musimy być zawsze czujni na tego typu ataki, ponieważ chociaż środki bezpieczeństwa są coraz większe, prawda jest taka, że ataki są również liczniejsze i częstsze. Musimy zawsze być czujni na wszystko, co pobieramy na nasze telefony komórkowe i unikać przekazywania naszych danych nieznanym platformom lub tego, że nie jesteśmy pewni ich 100% niezawodności. I nie jest tajemnicą, że lepiej zapobiegać niż leczyć…
Źródło: Fosbajty