'System Update' Android Malware

Android-brugere er truet af en ny sofistikeret Android-malware, der udgør en 'System Update' -applikation. Truslen blev for nylig opdaget af infosec-forskerne. Ifølge deres fund udviser 'System Update' malware en bred vifte af truende funktioner med nogle sjældent sete funktioner, veletableret Command-and-Control (C2, C&C) infrastruktur med forskellige servere til indgående og udgående kommunikation samt teknikker til påvisning af undgåelse.

Hvis det er i stand til at infiltrere brugerens enhed, fungerer 'System Update' malware som en RAT (Remote Access Trojan) effektivt, der kan indsamle og exfiltrere data, udføre indgående kommandoer og tage kontrol over visse funktioner på den inficerede enhed. Det skal bemærkes, at truslen ikke har været i stand til at bryde den officielle Google Play-butik og i stedet spredes gennem tredjeparts applikationsplatforme.

Et bredt sæt sofistikerede funktioner

'System Update' malware udviser et væld af truende kapaciteter, der gør det muligt for angriberne at udføre forskellige uhyggelige handlinger på den kompromitterede Android-enhed. Når den er etableret, initierer truslen kommunikation med en Firebase C & C-server. Under den indledende udveksling sendes forskellige data om den inficerede enhed inklusive - om WhatsApp er til stede på systemet, batteriopladning, lagerstatistik og internetforbindelsestype. Oplysningerne ved siden af et token modtaget fra Firebase-messaging-tjenesten bruges til at registrere enheden hos C&C. Malwaretruslen bruger kun Firebase C&C til at modtage indgående kommandoer, mens alle exfiltrerede data leveres til en anden C&C-server via POST-anmodninger.

De specifikke kommandoer, der modtages af truslen, udløser forskellige funktioner. 'System Update' malware kan få adgang til mikrofonen og starte optagelse af lyd eller optage telefonopkaldssamtaler. De indsamlede data gemmes som en ZIP-arkivfil, før de uploades til C&C serveren. Truslen forstyrrer brugeren med anmodninger om at aktivere tilgængelighedstjenester gentagne gange, og hvis det lykkes, ville det forsøge at skrabe samtale- og meddelelsesoplysninger fra WhatsApps skærm.

Spyware opretter adskillige lyttere, observerer og udsendte hensigter, der udløser specifikke truende handlinger såsom indsamling af udklipsholderdata, spionering på SMS, kontakter, opkaldslogger, meddelelser, GPS-placering osv. Filerne, der er gemt på den kompromitterede enhed, scannes og alle der er mindre end 30 MB i størrelse og betragtes som værdifulde, såsom at have .pdf-, .docx-, .doc-, .xlsx-, .xls-, .pptx- og .ppt-udvidelser kopieres og derefter exfiltreres til C & C-serveren. Yderligere private brugerdata som bogmærker og søgehistorik vil også blive skrabet fra populære webbrowsere som Samsung Internet Browser, Google Chrome og Mozilla Firefox.

Spyware er meget bevidst om de data, den indsamler, er så aktuelle som muligt. Det snapper placeringsdataene fra enten GPS eller netværket og opdaterer det hvert 5. minut. Den samme teknik bruges også til alle fotos taget med enhedens kamera, hvor kun intervallet øges til 40 minutter.

Flere teknikker skjuler de unormale aktiviteter

Udover sine omfattende RAT- og spywarefunktioner er 'System Update' malware også blevet udstyret med adskillige teknikker designet til at holde det skjult for nysgerrige øjne. De mere grundlæggende inkluderer blokering af ikonet for den truende applikation, så det ikke vises korrekt i skuffefanen eller menuen på den inficerede enhed. Alle filer, der indeholder indsamlet information, slettes straks efter modtagelse af et vellykket svar fra den eksterne server, hvor dataene exfiltreres. Når du indsamler filer, der er gemt på eksterne lagre, der indeholder adskillige billeder af videoer, fokuserer spyware på at indsamle de relevante miniaturer i stedet. Denne metode gør det muligt for den truende aktivitet at forblive ubemærket relativt sammenlignet med alternativet om at skabe et massivt unormalt båndbreddespor, især.

Hvis 'System Update' malware modtager en kommando fra Firebase C&C serveren, mens skærmen på den kompromitterede enhed er slukket, genererer den en falsk underretning for at vildlede brugeren. Meddelelsen foregiver at være genereret af enhedens operativsystem ved at vise en falsk meddelelse "Søgning efter opdatering ..".