Poprzedni Następny

Najbardziej zaawansowany malware na Androida

26 stycznia 2018 Piotr Mierzwiński Cyber Blog

Badacze z KasperkyLab odkryli bardzo zaawansowany malware o roboczej nazwie Skygofree. Po dogłębnej analizie kodu okazało się, że malware wcale nie jest nowy. Jego pierwsze funkcjonalności sięgają roku 2014. Według badaczy złośliwa aplikacja początkowo potrafiła jedynie przeszukać smartphone-a w celu znalezienia bazy danych Whatsapp-a. Z czasem jednak była systematycznie „dozbrojona” a w 2016 roku została wzbogacona o moduł służący do ściągnięcie różnych exploitów. To za ich pomocą których atakujący starał się podnieść uprawnienia do root-a. Exploity wykorzystywały podatności CVE-2013-2094, CVE-2013-2595, CVE-2013-6282, CVE-2014-3153 (futex aka TowelRoot), CVE-2015-3636. Jeżeli android posiadał którąkolwiek z wyżej opisanych luk to złośliwa aplikacja przejmowała  uprawnienia administratora na zarażonym smartphonie.

Trzeba przyznać, że malware jest wyjątkowo profesjonalnie napisany, a metodę jej działania można porównać do szwajcarskiego scyzoryka. Wystarczy wysłać odpowiednią komendę, aby przeprowadzić całą gamę działań wywiadowczych na zarażonym smartfonie. Oto przykłady kilku z nich:

  • „geofance” – jeżeli użytkownik znalazł się we wskazanej przez atakującego lokalizacji malware uruchamiał wbudowany w smartphona mikrofon.
  • „social” – komenda służąca do przechwytywania baz danych następujących aplikacji: messangera, facebooka, whatsappa czy gmaila
  • „wifi” – podłączenie się do wifi o wskazanych parametrach (jeżeli urządzenie jest w zasięgu). Prawdopodobnie funkcjonalność służyła jako element starannie przeprowadzonych podsłuchów Man in the middle (MitM).
  • „camera” – rozpoczęcie nagrywania lub zrobienie zdjęcia przednim aparatem telefonu, zaraz po tym gdy telefon zostanie odblokowany przez użytkownika.

…i wiele innych „usług”, które pozwalały na między innymi przechwytywanie wiadomości SMS, czytanie informacji w kalendarzu itp. Występujące w kodzie komentarze w języku włoskim oraz wysoka jakość kodu mogą przywodzić na myśl skojarzenia ze słynną grupą Hacking Team, piszącą oprogramowanie szpiegowskie na potrzeby różnych rządów. Nie jest do końca znana forma rozprzestrzeniania się malware, ale najprawdopodobniej były do tego wykorzystywane fałszywe strony zaufanych operatorów (np.: Vodafone), na których odwiedzających namawiano do zainstalowania aplikacji przyśpieszającej połączenie z operatorem.

Podobne

Złośliwe aplikacje w Sklepie Google wyświetlające „nieodpowiednie treści”

Złośliwe aplikacje w Sklepie Google wyświetlających „nieodpowiednie treści” Badacze z ChackPointa wykryli w sklepie Google Play około 60 złośliwych aplikacji, które oprócz wyświetlania reklam dostarczały także „niewłaściwe obrazki”. Złośliwe oprogramowanie występowało w trzech wariantach: Wyświetlanie reklam, które bardzo często były „nieodpowiednimi treściami” problem polega na tym, że reklamy te pojawiały się w grach/programach których nazwa […]

19 stycznia 2018 Cyber Blog

Cybersec 2017. Cyberbezpieczeństwo to gra zespołowa

W czwartek, 6 kwietnia, wzięliśmy udział w Europejskim Forum CyberSec.  To ważne wydarzenie poświęcone problemowi cyberbezpieczeństwa Polski. To też platforma dialogu dla najważniejszych instytucji państwowych. Prezes Nikodem Bończa Tomaszewski uczestniczył w otwierającym panelu dyskusyjnym, który dotyczył strategii cyberbezpieczeństwa Polski i praktycznych warunków wdrożenia tej strategii. W swojej wypowiedzi skupił się na pojęciu cybersuwerenności oraz jej […]

6 kwietnia 2017 News

Powstaje polski anty DDoS

Projekt EXATEL i Politechniki Warszawskiej zaakceptowany przez Narodowe Centrum Badań i Rozwoju. To wielka szansa na pierwszy opracowany w Polsce system ochrony przed cyberatakami typu DDoS klasy operatorskiej.   8 grudnia 2017 roku ogłoszono wyniki II Konkursu w ramach programu CyberSecIdent – Cyberbezpieczeństwo i e-Tożsamość. Projekt o nazwie TAMA anty DDoS znalazł się w elitarnym […]

13 grudnia 2017 Informacja prasowa