Poprzedni Następny

Najbardziej zaawansowany malware na Androida

26 stycznia 2018 Piotr Mierzwiński Cyber Blog

Badacze z KasperkyLab odkryli bardzo zaawansowany malware o roboczej nazwie Skygofree. Po dogłębnej analizie kodu okazało się, że malware wcale nie jest nowy. Jego pierwsze funkcjonalności sięgają roku 2014. Według badaczy złośliwa aplikacja początkowo potrafiła jedynie przeszukać smartphone-a w celu znalezienia bazy danych Whatsapp-a. Z czasem jednak była systematycznie „dozbrojona” a w 2016 roku została wzbogacona o moduł służący do ściągnięcie różnych exploitów. To za ich pomocą których atakujący starał się podnieść uprawnienia do root-a. Exploity wykorzystywały podatności CVE-2013-2094, CVE-2013-2595, CVE-2013-6282, CVE-2014-3153 (futex aka TowelRoot), CVE-2015-3636. Jeżeli android posiadał którąkolwiek z wyżej opisanych luk to złośliwa aplikacja przejmowała  uprawnienia administratora na zarażonym smartphonie.

Trzeba przyznać, że malware jest wyjątkowo profesjonalnie napisany, a metodę jej działania można porównać do szwajcarskiego scyzoryka. Wystarczy wysłać odpowiednią komendę, aby przeprowadzić całą gamę działań wywiadowczych na zarażonym smartfonie. Oto przykłady kilku z nich:

  • „geofance” – jeżeli użytkownik znalazł się we wskazanej przez atakującego lokalizacji malware uruchamiał wbudowany w smartphona mikrofon.
  • „social” – komenda służąca do przechwytywania baz danych następujących aplikacji: messangera, facebooka, whatsappa czy gmaila
  • „wifi” – podłączenie się do wifi o wskazanych parametrach (jeżeli urządzenie jest w zasięgu). Prawdopodobnie funkcjonalność służyła jako element starannie przeprowadzonych podsłuchów Man in the middle (MitM).
  • „camera” – rozpoczęcie nagrywania lub zrobienie zdjęcia przednim aparatem telefonu, zaraz po tym gdy telefon zostanie odblokowany przez użytkownika.

…i wiele innych „usług”, które pozwalały na między innymi przechwytywanie wiadomości SMS, czytanie informacji w kalendarzu itp. Występujące w kodzie komentarze w języku włoskim oraz wysoka jakość kodu mogą przywodzić na myśl skojarzenia ze słynną grupą Hacking Team, piszącą oprogramowanie szpiegowskie na potrzeby różnych rządów. Nie jest do końca znana forma rozprzestrzeniania się malware, ale najprawdopodobniej były do tego wykorzystywane fałszywe strony zaufanych operatorów (np.: Vodafone), na których odwiedzających namawiano do zainstalowania aplikacji przyśpieszającej połączenie z operatorem.

Podobne

Wesołe przygody pentesterów czyli RCE przed kawą – ESD18

Pentester to człowiek, który widział już wiele. Wejście do systemu poprzez zmianę jednej liczby w kodzie – proszę. Panel do logowania, który wymaga jedynie dowolnego hasła (bez znaczenia jakie słowo, byleby pole nie było puste) – znam. Webshell wbudowany w aplikację umożliwiający przejęcie całego serwera – to było miesiąc temu…  Pentester w praktyce – czyli […]

23 lipca 2018 Wideo

Kradzież danych z komputerów klasy TEMPEST

Izraelscy badacze znaleźli sposób na wydobycie danych z odizolowanych komputerów. I nie chodzi wcale „zwykłe” komputery, które działają w wydzielonej sieci. Ale o komputery specjalnego przeznaczenia klasy TEMPEST (z ang. Transient Electromagnetic Pulse Emanation Standard). Czym jest standard TEMPEST Każde urządzenie podłączone do linii zasilającej i włączone, generuje promieniowanie elektromagnetyczne. Dzięki określonym technologiom można je przechwycić […]

19 kwietnia 2018 Cyber Blog

VPNFilter – malware, który może zagrozić 500 000 urządzeniom

VPNFilter pozwala na infekcje routerów SOHO Badacze Cisco Talos odkryli złośliwe oprogramowanie, które nazwali VPNFilter. Pozwala ono na infekcje routerów SOHO. Na ten moment ujawniono, że problem dotyczy urządzeń takich firm jak: Linksys, Mikrotik, Netgear, Qnap oraz Tp-Link.  Szczególną aktywności złośliwego oprogramowania zaobserwowano na Ukrainie. Jednak szacuje się, że na całym świecie narażonych jest około 500 […]

30 maja 2018 Cyber Blog