Poprzedni Następny

Najbardziej zaawansowany malware na Androida

26 stycznia 2018 Piotr Mierzwiński Cyber Blog

Badacze z KasperkyLab odkryli bardzo zaawansowany malware o roboczej nazwie Skygofree. Po dogłębnej analizie kodu okazało się, że malware wcale nie jest nowy. Jego pierwsze funkcjonalności sięgają roku 2014. Według badaczy złośliwa aplikacja początkowo potrafiła jedynie przeszukać smartphone-a w celu znalezienia bazy danych Whatsapp-a. Z czasem jednak była systematycznie „dozbrojona” a w 2016 roku została wzbogacona o moduł służący do ściągnięcie różnych exploitów. To za ich pomocą których atakujący starał się podnieść uprawnienia do root-a. Exploity wykorzystywały podatności CVE-2013-2094, CVE-2013-2595, CVE-2013-6282, CVE-2014-3153 (futex aka TowelRoot), CVE-2015-3636. Jeżeli android posiadał którąkolwiek z wyżej opisanych luk to złośliwa aplikacja przejmowała  uprawnienia administratora na zarażonym smartphonie.

Trzeba przyznać, że malware jest wyjątkowo profesjonalnie napisany, a metodę jej działania można porównać do szwajcarskiego scyzoryka. Wystarczy wysłać odpowiednią komendę, aby przeprowadzić całą gamę działań wywiadowczych na zarażonym smartfonie. Oto przykłady kilku z nich:

  • „geofance” – jeżeli użytkownik znalazł się we wskazanej przez atakującego lokalizacji malware uruchamiał wbudowany w smartphona mikrofon.
  • „social” – komenda służąca do przechwytywania baz danych następujących aplikacji: messangera, facebooka, whatsappa czy gmaila
  • „wifi” – podłączenie się do wifi o wskazanych parametrach (jeżeli urządzenie jest w zasięgu). Prawdopodobnie funkcjonalność służyła jako element starannie przeprowadzonych podsłuchów Man in the middle (MitM).
  • „camera” – rozpoczęcie nagrywania lub zrobienie zdjęcia przednim aparatem telefonu, zaraz po tym gdy telefon zostanie odblokowany przez użytkownika.

…i wiele innych „usług”, które pozwalały na między innymi przechwytywanie wiadomości SMS, czytanie informacji w kalendarzu itp. Występujące w kodzie komentarze w języku włoskim oraz wysoka jakość kodu mogą przywodzić na myśl skojarzenia ze słynną grupą Hacking Team, piszącą oprogramowanie szpiegowskie na potrzeby różnych rządów. Nie jest do końca znana forma rozprzestrzeniania się malware, ale najprawdopodobniej były do tego wykorzystywane fałszywe strony zaufanych operatorów (np.: Vodafone), na których odwiedzających namawiano do zainstalowania aplikacji przyśpieszającej połączenie z operatorem.

Podobne

Microsoft Outlook – niepełne łatanie luki bezpieczeństwa

W ostatni ‘Patch Tuesday’ (dzień, w którym już tradycyjnie – bo od 2003 roku – Microsoft publikacji aktualizacji bezpieczeństwa) pojawiły się łatki m.in. dla produktów Microsoft w tym MS Outlook. Wśród nich dwie opisane jako: CVE-2018-0950 (Microsoft Office Information Disclosure Vulnerability) Vulnerability Note VU#974272. Powyższe podatność zgłosił i opisał Will Dormann z amerykańskiego CERT Coordination […]

12 kwietnia 2018 Cyber Blog

Czy darmowy VPN od Facebook zadba o Twoją prywatność

Facebook zaczął rozpowszechniać i zachęcać do korzystania z darmowego VPN. Jego twórcą była izraelska firma Onavo, od 2013 roku część tego potentata społecznościowego. Twórcy zachęcają do korzystania z tej konkretnej aplikacji. Według opisu ruch generowany przez użytkownika do Internetu będzie szyfrowany. To zapewni użytkownikowi większą prywatność. Ruch VPN przez serwery Facebook Korporacja nie wspomina, że […]

20 lutego 2018 Cyber Blog

Memcached UDP DDoS – opis i rekomendacje

Specjaliści z Arbor Networks opublikowali opis i rekomendację na temat ataku DDoS typu UDP reflection/amplification przeprowadzanego z wykorzystaniem serwerów z uruchomionym systemem cache’owania Memcached. Specyfika tego rozwiązania (brak wbudowanych zabezpieczeń) powoduje dużą podatność na ataki wolumetryczne. Dlatego ten konkretny system nie powinien być wystawione do sieci publicznej. Przekonali się tym administratorzy GitHuba, którzy musieli zmierzyć […]

2 marca 2018 Cyber Blog