Threat Database Malware 'System Update' Android Malware

'System Update' Android Malware

Android-gebruikers worden bedreigd door een nieuwe geavanceerde Android-malware die zich voordoet als een 'System Update'-applicatie. De dreiging werd onlangs ontdekt door de infosec-onderzoekers. Volgens hun bevindingen vertoont de 'System Update'-malware een breed scala aan bedreigende functionaliteiten met enkele zelden geziene functies, een gevestigde Command-and-Control-infrastructuur (C2, C&C) met verschillende servers voor inkomende en uitgaande communicatie, evenals detectie-vermijdingstechnieken.

Als het in staat is om het apparaat van de gebruiker te infiltreren, fungeert de 'System Update'-malware als een RAT (Remote Access Trojan) die effectief gegevens kan verzamelen en exfiltreren, inkomende opdrachten kan uitvoeren en de controle kan nemen over bepaalde functies van het geïnfecteerde apparaat. Opgemerkt moet worden dat de dreiging de officiële Google Play Store niet heeft kunnen doorbreken en in plaats daarvan wordt verspreid via applicatieplatforms van derden.

Een breed scala aan geavanceerde functies

De 'System Update'-malware vertoont een groot aantal bedreigende mogelijkheden waarmee de aanvallers verschillende snode acties kunnen uitvoeren op het gecompromitteerde Android-apparaat. Eenmaal vastgesteld, initieert de dreiging de communicatie met een Firebase C & C-server. Tijdens de eerste uitwisseling worden verschillende gegevens over het geïnfecteerde apparaat verzonden, waaronder - of WhatsApp aanwezig is op het systeem, batterijlading, opslagstatistieken en type internetverbinding. De informatie naast een token ontvangen van de Firebase-berichtenservice wordt gebruikt om het apparaat bij de C&C te registreren. De malwarebedreiging gebruikt de Firebase C&C alleen om inkomende opdrachten te ontvangen, terwijl alle geëxfiltreerde gegevens via POST-verzoeken naar een andere C&C-server worden gestuurd.

De specifieke commando's die de dreiging ontvangt, activeren verschillende functionaliteiten. De 'Systeemupdate'-malware heeft toegang tot de microfoon en kan beginnen met het opnemen van audio of het opnemen van telefoongesprekken. De verzamelde gegevens worden opgeslagen als een ZIP-archiefbestand voordat ze worden geüpload naar de C & C-server. De dreiging valt de gebruiker lastig met verzoeken om toegankelijkheidsservices herhaaldelijk in te schakelen, en als dit lukt, probeert het de conversatie- en berichtdetails van het WhatsApp-scherm te schrapen.

De spyware stelt talloze luisteraars, observaties en uitgezonden bedoelingen vast die specifieke bedreigende acties activeren, zoals het verzamelen van klembordgegevens, het bespioneren van sms-berichten, contacten, oproeplogboeken, meldingen, gps-locatie, enz. De bestanden die zijn opgeslagen op het gecompromitteerde apparaat worden gescand en alle die minder dan 30 MB groot is en als waardevol wordt beschouwd, zoals .pdf, .docx, .doc, .xlsx, .xls, .pptx en .ppt extensies worden gekopieerd en vervolgens geëxfiltreerd naar de C & C-server. Verdere persoonlijke gebruikersgegevens zoals bladwijzers en zoekgeschiedenis worden ook uit populaire webbrowsers gehaald, zoals de Samsung Internet Browser, Google Chrome en Mozilla Firefox.

De spyware is zich er zeer bewust van dat de gegevens die het verzamelt zo actueel mogelijk zijn. Het snapt de locatiegegevens van de GPS of het netwerk en werkt deze elke 5 minuten bij. Dezelfde techniek wordt ook gebruikt voor foto's die met de camera van het apparaat zijn gemaakt, waarbij alleen het interval wordt verlengd tot 40 minuten.

Meerdere technieken verbergen de abnormale activiteiten

Naast de uitgebreide RAT- en spywaremogelijkheden, is de 'System Update'-malware ook uitgerust met tal van technieken die zijn ontworpen om het verborgen te houden voor nieuwsgierige blikken. De meer basale opties zijn onder meer het blokkeren van het pictogram van de bedreigende applicatie zodat deze niet correct wordt weergegeven in het ladetabblad of menu van het geïnfecteerde apparaat. Alle bestanden die verzamelde informatie bevatten, worden onmiddellijk verwijderd nadat ze een succesvol antwoord hebben ontvangen van de externe server waarop de gegevens worden geëxfiltreerd. Bij het verzamelen van bestanden die zijn opgeslagen op externe opslagplaatsen die talloze afbeeldingen van video's bevatten, concentreert de spyware zich op het verzamelen van de juiste miniaturen. Deze methode zorgt ervoor dat de bedreigende activiteit relatief onopgemerkt blijft in vergelijking met het alternatief om vooral een enorm abnormaal bandbreedtespoor te creëren.

Als de 'System Update'-malware een commando ontvangt van de Firebase C&C-server terwijl het scherm van het gecompromitteerde apparaat is uitgeschakeld, genereert het een nepmelding om de gebruiker te misleiden. De melding doet alsof deze is gegenereerd door het besturingssysteem van het apparaat door een vals bericht 'Zoeken naar update ...' weer te geven.

Trending

Meest bekeken

Bezig met laden...