Poprzedni Następny

Najbardziej zaawansowany malware na Androida

26 stycznia 2018 Piotr Mierzwiński Cyber Blog

Badacze z KasperkyLab odkryli bardzo zaawansowany malware o roboczej nazwie Skygofree. Po dogłębnej analizie kodu okazało się, że malware wcale nie jest nowy. Jego pierwsze funkcjonalności sięgają roku 2014. Według badaczy złośliwa aplikacja początkowo potrafiła jedynie przeszukać smartphone-a w celu znalezienia bazy danych Whatsapp-a. Z czasem jednak była systematycznie „dozbrojona” a w 2016 roku została wzbogacona o moduł służący do ściągnięcie różnych exploitów. To za ich pomocą których atakujący starał się podnieść uprawnienia do root-a. Exploity wykorzystywały podatności CVE-2013-2094, CVE-2013-2595, CVE-2013-6282, CVE-2014-3153 (futex aka TowelRoot), CVE-2015-3636. Jeżeli android posiadał którąkolwiek z wyżej opisanych luk to złośliwa aplikacja przejmowała  uprawnienia administratora na zarażonym smartphonie.

Trzeba przyznać, że malware jest wyjątkowo profesjonalnie napisany, a metodę jej działania można porównać do szwajcarskiego scyzoryka. Wystarczy wysłać odpowiednią komendę, aby przeprowadzić całą gamę działań wywiadowczych na zarażonym smartfonie. Oto przykłady kilku z nich:

  • „geofance” – jeżeli użytkownik znalazł się we wskazanej przez atakującego lokalizacji malware uruchamiał wbudowany w smartphona mikrofon.
  • „social” – komenda służąca do przechwytywania baz danych następujących aplikacji: messangera, facebooka, whatsappa czy gmaila
  • „wifi” – podłączenie się do wifi o wskazanych parametrach (jeżeli urządzenie jest w zasięgu). Prawdopodobnie funkcjonalność służyła jako element starannie przeprowadzonych podsłuchów Man in the middle (MitM).
  • „camera” – rozpoczęcie nagrywania lub zrobienie zdjęcia przednim aparatem telefonu, zaraz po tym gdy telefon zostanie odblokowany przez użytkownika.

…i wiele innych „usług”, które pozwalały na między innymi przechwytywanie wiadomości SMS, czytanie informacji w kalendarzu itp. Występujące w kodzie komentarze w języku włoskim oraz wysoka jakość kodu mogą przywodzić na myśl skojarzenia ze słynną grupą Hacking Team, piszącą oprogramowanie szpiegowskie na potrzeby różnych rządów. Nie jest do końca znana forma rozprzestrzeniania się malware, ale najprawdopodobniej były do tego wykorzystywane fałszywe strony zaufanych operatorów (np.: Vodafone), na których odwiedzających namawiano do zainstalowania aplikacji przyśpieszającej połączenie z operatorem.

Podobne

Uwaga na prezenty/nagrody w postaci pendrive

Złośliwy pendrive Pod koniec zeszłego roku Tajwańskie biuro śledcze zorganizowało konkurs z zakresu cyberbezpieczeństwa. Nagrodą były m.in.: pendrive, który jako dodatkowy niechciany bonus miały złośliwe oprogramowanie. Do zainfekowania pendrive doszło prawdopodobnie podczas ich testowania w firmie dostarczającej nagrody. Zmodyfikowane pendrivy kradły poufne dane użytkowników, które były przesyłane na serwery w Polsce. Następnie dalej przekazywane do […]

26 stycznia 2018 Cyber Blog

EXATEL się zmienia

Telekomunikacyjny operator EXATEL wdraża nową strategię, usługi oraz prognozuje wzrost dochodów. Filarem rozwoju spółki jest rozbudowa sieci światłowodowej, zaawansowane usługi cyberbezpieczeństwa i kompleksowe rozwiązania teleinformatyczne dla organizacji. Wyrazem zmian jest nowa, nowoczesna identyfikacja wizualna, którą zaprezentowano podczas 3. edycji EXATEL Security Days – konferencji praktyków cyberbezpieczeństwa.   EXATEL to twórca jednej z trzech największych sieci […]

4 czerwca 2018 Informacja prasowa

Security through Distrusting czyli kiedy zaufanie jest złe – ESD18

Słowo “zaufanie” w cyberbezpieczeństwie jest mocno nadużywane. Odnosimy go do sprzętu, oprogramowania czy technologii. Chcemy, by każdy element był zaufany, czyli niewymagający naszej uwagi. Ale czy tak jest w rzeczywistości? Bo słowo zaufany oznacza, że dany komponent może skutecznie skompromitować cały nasz system. W końcu nie zawsze kontrolujemy każdy element, z którego składa się nasz […]

9 sierpnia 2018 Wideo