'Systemuppdatering' Android Malware

'Systemuppdatering' Android Malware

Android-användare hotas av en ny sofistikerad Android-skadlig kod som utgör en systemuppdateringsapplikation. Hotet upptäcktes nyligen av infosec-forskarna. Enligt deras resultat visar skadlig programvara 'System Update' ett brett utbud av hotfunktioner med några sällan sett funktioner, väletablerad Command-and-Control (C2, C&C) infrastruktur med olika servrar för inkommande och utgående kommunikation, samt tekniker för att upptäcka undvikande.

Om den kan infiltrera användarens enhet fungerar skadlig programvara för 'System Update' som en RAT (Remote Access Trojan) effektivt som kan samla in och exfiltrera data, köra inkommande kommandon och ta kontroll över vissa funktioner på den infekterade enheten. Det måste noteras att hotet inte har kunnat bryta mot den officiella Google Play-butiken och sprids istället via tredjepartsapplikationsplattformar.

En bred uppsättning sofistikerade funktioner

”Systemuppdaterings” skadlig programvara uppvisar en mängd hotfulla funktioner som gör det möjligt för angriparna att genomföra olika onödiga åtgärder på den komprometterade Android-enheten. När det väl är etablerat initierar hotet kommunikation med en Firebase C & C-server. Under det första utbytet skickas olika data om den infekterade enheten inklusive - om WhatsApp finns i systemet, batteriladdning, lagringsstatistik och internetanslutningstyp. Informationen tillsammans med en token som tas emot från Firebase-meddelandetjänsten används för att registrera enheten med C&C. Malwarhotet använder Firebase C&C endast för att ta emot inkommande kommandon medan all exfiltrerad data levereras till en annan C&C-server via POST-förfrågningar.

De specifika kommandona som mottas av hotet utlöser olika funktioner. Skadlig 'Systemuppdatering' kan komma åt mikrofonen och börja spela in ljud eller spela in telefonsamtal. Den insamlade informationen sparas som en ZIP-arkivfil innan den laddas upp till C&C-servern. Hotet plågar användaren med förfrågningar om att aktivera tillgänglighetstjänster upprepade gånger, och om det lyckas skulle det försöka skrapa konversations- och meddelandedetaljer från WhatsApps skärm.

Spionprogrammet skapar många lyssnare, observerar och sänder avsikter som utlöser specifika hotande åtgärder som att samla in urklippsdata, spionera på SMS, kontakter, samtalsloggar, aviseringar, GPS-plats etc. Filerna som lagras på den komprometterade enheten kommer att skannas och alla Det är mindre än 30 MB i storlek och anses vara värdefullt som att ha .pdf-, .docx-, .doc-, .xlsx-, .xls-, .pptx- och .ppt-tillägg kopieras och sedan exfiltreras till C & C-servern. Ytterligare privata användardata som bokmärken och sökhistorik kommer också att skrapas från populära webbläsare som Samsung Internet Browser, Google Chrome och Mozilla Firefox.

Spionprogrammet är extremt medvetet om att den data som samlas in är så aktuell som möjligt. Det tar platsdata från antingen GPS eller nätverk och uppdaterar det var 5: e minut. Samma teknik används också för alla foton som tagits med enhetens kamera, där endast intervallet ökas till 40 minuter.

Flera tekniker döljer onormala aktiviteter

Förutom de omfattande RAT- och spionprogramfunktionerna har skadlig programvara "System Update" också utrustats med många tekniker som är utformade för att hålla den gömd från nyfikna ögon. De mer grundläggande inkluderar att blockera ikonen för det hotande programmet från att visas ordentligt i lådfliken eller menyn på den infekterade enheten. Alla filer som innehåller samlad information raderas omedelbart efter att de fått ett framgångsrikt svar från fjärrservern där data exfiltreras. När du samlar in filer som lagras på externa lagringar som innehåller många bilder på videor, fokuserar spionprogrammet på att samla in lämpliga miniatyrer istället. Denna metod gör att den hotande aktiviteten förblir obemärkt relativt jämfört med alternativet att skapa en massiv onormal bandbreddsspår, särskilt.

Om skadlig programvara för 'System Update' får ett kommando från Firebase C & C-servern medan skärmen på den komprometterade enheten är avstängd, genererar den en falsk anmälan för att vilseleda användaren. Meddelandet låtsas ha genererats av enhetens operativsystem genom att visa ett falskt meddelande "Söker efter uppdatering ...".

Trending

Loading...