Poprzedni Następny

Najbardziej zaawansowany malware na Androida

26 stycznia 2018 Piotr Mierzwiński Cyber Blog

Badacze z KasperkyLab odkryli bardzo zaawansowany malware o roboczej nazwie Skygofree. Po dogłębnej analizie kodu okazało się, że malware wcale nie jest nowy. Jego pierwsze funkcjonalności sięgają roku 2014. Według badaczy złośliwa aplikacja początkowo potrafiła jedynie przeszukać smartphone-a w celu znalezienia bazy danych Whatsapp-a. Z czasem jednak była systematycznie „dozbrojona” a w 2016 roku została wzbogacona o moduł służący do ściągnięcie różnych exploitów. To za ich pomocą których atakujący starał się podnieść uprawnienia do root-a. Exploity wykorzystywały podatności CVE-2013-2094, CVE-2013-2595, CVE-2013-6282, CVE-2014-3153 (futex aka TowelRoot), CVE-2015-3636. Jeżeli android posiadał którąkolwiek z wyżej opisanych luk to złośliwa aplikacja przejmowała  uprawnienia administratora na zarażonym smartphonie.

Trzeba przyznać, że malware jest wyjątkowo profesjonalnie napisany, a metodę jej działania można porównać do szwajcarskiego scyzoryka. Wystarczy wysłać odpowiednią komendę, aby przeprowadzić całą gamę działań wywiadowczych na zarażonym smartfonie. Oto przykłady kilku z nich:

  • „geofance” – jeżeli użytkownik znalazł się we wskazanej przez atakującego lokalizacji malware uruchamiał wbudowany w smartphona mikrofon.
  • „social” – komenda służąca do przechwytywania baz danych następujących aplikacji: messangera, facebooka, whatsappa czy gmaila
  • „wifi” – podłączenie się do wifi o wskazanych parametrach (jeżeli urządzenie jest w zasięgu). Prawdopodobnie funkcjonalność służyła jako element starannie przeprowadzonych podsłuchów Man in the middle (MitM).
  • „camera” – rozpoczęcie nagrywania lub zrobienie zdjęcia przednim aparatem telefonu, zaraz po tym gdy telefon zostanie odblokowany przez użytkownika.

…i wiele innych „usług”, które pozwalały na między innymi przechwytywanie wiadomości SMS, czytanie informacji w kalendarzu itp. Występujące w kodzie komentarze w języku włoskim oraz wysoka jakość kodu mogą przywodzić na myśl skojarzenia ze słynną grupą Hacking Team, piszącą oprogramowanie szpiegowskie na potrzeby różnych rządów. Nie jest do końca znana forma rozprzestrzeniania się malware, ale najprawdopodobniej były do tego wykorzystywane fałszywe strony zaufanych operatorów (np.: Vodafone), na których odwiedzających namawiano do zainstalowania aplikacji przyśpieszającej połączenie z operatorem.

Podobne

Raport National Exposure Index – zagrożenia w sieci

Rapid7 Labs opublikowało kolejny raport pod nazwą National Exposure Index. Jest to cykliczny raport, który jest publikowany od 2016 roku. Co do zasady jest to raport, który ma przedstawiać porównywalne dane w zakresie zagrożeń pojawiających się w sieci Internet. Raport National Exposure Index co roku trochę inny Już na pierwszy rzut oka widać, że raportyz każdym […]

9 lipca 2018 Cyber Blog

Podpisanie umowy na projekt SDNBox – programowalne urządzenie sieciowe

Blisko 1,5 mld zł do końca roku czeka na przedsiębiorców we flagowym konkursie Narodowego Centrum Badań i Rozwoju – Szybka ścieżka. Podczas uroczystego podpisania umowy na finansowanie projektu SDNbox firmy EXATEL SA, beneficjenta NCBR, premier Jarosław Gowin oraz minister Jadwiga Emilewicz podkreślali, że najpopularniejszy obecnie program wsparcia dla firm przynosi konkretne efekty. Zaprezentowano najciekawsze projekty startupów […]

27 sierpnia 2018 Informacja prasowa

0-day RCE w protokole P2P Bitmessage

Twórcy protokołu P2P Bitmessage poinformowali o odkryciu krytycznej luki w PyBitmessage w wersji 0.6.2 dla systemów Linux, Mac i Windows. Podatność umożliwia atakującemu zdalne wykonanie kodu skryptu lub otwarcie reverse shella i dostęp do wszystkich plików, w tym do portfeli kryptowalut. Również Peter Šurda – core developer tego protokołu – padł ofiarą ataku, o czym poinformował na Twitterze. Rekomendacja […]

16 lutego 2018 Cyber Blog