Experti z bezpečnostní firmy Zimperium informovali o novém malwaru pro mobilní zařízení s operačním systémem Android. Uživatele se snaží k instalaci přesvědčit tím, že se vydává za systémovou aktualizaci. Poté krade data, obrázky, obsah zpráv a umožňuje útočníkům vzdálené ovládání infikovaného přístroje.
Hackeři mohou kromě toho zaznamenávat zvuky, včetně telefonních hovorů, pořizovat fotografie, prohlížet historii webového prohlížeče, přistupovat ke zprávám v komunikační aplikaci WhatsApp a provádět další akce, jejichž seznam je uveden níže.
Záludná „systémová aktualizace“
Dle odborníků na bezpečnost jde o „sofistikovanou spywarovou kampaň s komplexními schopnostmi.“ Hned v úvodu je vhodné podotknout, že škodlivá aplikace se nikdy neobjevila v oficiálním repozitáři Obchod Google Play a postižení uživatelé si ji stahovali z nedůvěryhodných zdrojů.
Škodlivá aplikace je určena pro zařízení s operačním systémem Android. Do systému se instaluje jako trojský kůň (tj. program, který se vydává za něco jiného – v tomto případě za aktualizaci systému), následně funguje jako spyware umožňující útočníkům vzdálený přístup s podporou široké škály akcí. Hackeři mohou například:
- Sledovat zprávy v rámci komunikačních aplikací,
- krást databázové soubory komunikačních aplikací (jen s právy roota),
- číst oblíbené položky a historii navštívených stránek v prohlížečích Google Chrome, Mozilla Firefox a Samsung Internet Browser,
- vyhledávat soubory se specifickými příponami (včetně .pdf, .doc, .docx, .xls a .xlsx),
- číst data uložená v systémové schránce,
- přistupovat k obsahu oznámení,
- nahrávat zvuk,
- nahrávat telefonní hovory,
- pořizovat fotografie předním i zadním fotoaparátem,
- kontrolovat seznam nainstalovaných aplikací,
- krást obrázky a videa uložená v zařízení,
- sledovat polohu zařízení přes GPS nebo ze sítě,
- krást obsah SMS,
- získat telefonní kontakty,
- přistupovat k historii volání,
- získávat detailní informace o zařízení,
- skrýt ikonu škodlivé aplikace v seznamu.
Mějte se na pozoru!
Jak již zaznělo, malware lze nainstalovat pouze z neoficiálních zdrojů – tedy z nejrůznějších webových stránek a alternativních obchodu s aplikacemi. Škodlivý program se poté připojí k internetu a očekává příkazy vydané útočníky. Kromě toho také automaticky reaguje na některé podněty – třeba když přijde nová SMS či je nainstalována nějaká aplikace.
Spyware hledá jakoukoli zajímavou aktivitu – například během telefonního hovoru zaznamená konverzaci a poté odešle její obsah na server v podobě zašifrovaného archivu ve formátu ZIP. Po potvrzení úspěšného nahrání smaže veškeré stopy, aby nevzbudil pozornost uživatele.
Shromážděná data jsou uspořádána do několika složek v interním úložišti v adresáři /data/data/com.update.system.important/files/files/system/. Pro některé úkoly aplikace zneužívá služby usnadnění přístupu, jejichž povolení si pod nejrůznějšími zástěrkami vyžádá po uživateli.
Ačkoli má škodlivá aplikace opravdu širokou paletu funkcí, její potenciální nebezpečnost spočívá především ve schopnostech sociálního inženýrství. Uživatelé, instalující programy výhradně z Obchodu Google Play, se tak nemusejí ničeho obávat.
