Poprzedni Następny

Najbardziej zaawansowany malware na Androida

26 stycznia 2018 Piotr Mierzwiński Cyber Blog

Badacze z KasperkyLab odkryli bardzo zaawansowany malware o roboczej nazwie Skygofree. Po dogłębnej analizie kodu okazało się, że malware wcale nie jest nowy. Jego pierwsze funkcjonalności sięgają roku 2014. Według badaczy złośliwa aplikacja początkowo potrafiła jedynie przeszukać smartphone-a w celu znalezienia bazy danych Whatsapp-a. Z czasem jednak była systematycznie „dozbrojona” a w 2016 roku została wzbogacona o moduł służący do ściągnięcie różnych exploitów. To za ich pomocą których atakujący starał się podnieść uprawnienia do root-a. Exploity wykorzystywały podatności CVE-2013-2094, CVE-2013-2595, CVE-2013-6282, CVE-2014-3153 (futex aka TowelRoot), CVE-2015-3636. Jeżeli android posiadał którąkolwiek z wyżej opisanych luk to złośliwa aplikacja przejmowała  uprawnienia administratora na zarażonym smartphonie.

Trzeba przyznać, że malware jest wyjątkowo profesjonalnie napisany, a metodę jej działania można porównać do szwajcarskiego scyzoryka. Wystarczy wysłać odpowiednią komendę, aby przeprowadzić całą gamę działań wywiadowczych na zarażonym smartfonie. Oto przykłady kilku z nich:

  • „geofance” – jeżeli użytkownik znalazł się we wskazanej przez atakującego lokalizacji malware uruchamiał wbudowany w smartphona mikrofon.
  • „social” – komenda służąca do przechwytywania baz danych następujących aplikacji: messangera, facebooka, whatsappa czy gmaila
  • „wifi” – podłączenie się do wifi o wskazanych parametrach (jeżeli urządzenie jest w zasięgu). Prawdopodobnie funkcjonalność służyła jako element starannie przeprowadzonych podsłuchów Man in the middle (MitM).
  • „camera” – rozpoczęcie nagrywania lub zrobienie zdjęcia przednim aparatem telefonu, zaraz po tym gdy telefon zostanie odblokowany przez użytkownika.

…i wiele innych „usług”, które pozwalały na między innymi przechwytywanie wiadomości SMS, czytanie informacji w kalendarzu itp. Występujące w kodzie komentarze w języku włoskim oraz wysoka jakość kodu mogą przywodzić na myśl skojarzenia ze słynną grupą Hacking Team, piszącą oprogramowanie szpiegowskie na potrzeby różnych rządów. Nie jest do końca znana forma rozprzestrzeniania się malware, ale najprawdopodobniej były do tego wykorzystywane fałszywe strony zaufanych operatorów (np.: Vodafone), na których odwiedzających namawiano do zainstalowania aplikacji przyśpieszającej połączenie z operatorem.

Podobne

[AKTUALIZACJA] Konkurs 17/2021 – Dostawa SGiARS dla projektów SDNcore i ARFA

Aktualizacja ogłoszenia z dnia 17 listopada 2021 r. – wybór najkorzystniejszej oferty W nawiązaniu do zaproszenia do składania ofert_Konkurs Ofert nr 17/2021  (opublikowanego 5 października 2021 roku) informujemy, że najkorzystniejszą ofertę złożyła firma AM Technologies Sp.z o.o. Sp.j. Zamawiający jednocześnie informuje, że w niniejszym Konkursie wpłynęły następujące oferty, które uzyskały punktację: AM Technologies Sp.z o.o. Sp.j.– […]

17 listopada 2021 Ogłoszenie

[AKTUALIZACJA] Konkurs 16/2021 – serwery do projektu ARFA

Aktualizacja ogłoszenia z dnia 17 listopada 2021 r. – wybór najkorzystniejszej oferty W nawiązaniu do zaproszenia do składania ofert_Konkurs Ofert nr 16/2021  (opublikowanego 29 września 2021 roku) informujemy, że najkorzystniejszą ofertę złożyła firma System Data Sp. z o.o. Zamawiający jednocześnie informuje, że w niniejszym Konkursie wpłynęły następujące oferty, które uzyskały punktację: System Data Sp. z o.o. […]

17 listopada 2021 Ogłoszenie

Jak skutecznie wykrywać podatności w obrazach dockerowych?

Autorem tekstu jest Dariusz Grabowski Główny programista SDN w EXATEL   W 2019 roku badacze z Palo Alto Unit 42 wykryli, że na ponad 2000 maszyn został uruchomiony pewien specyficzny obraz dockerowy. Wydawałoby się, że to tylko zwykły Centos jakich wiele na Docker Hubie. Miał on jednak w sobie coś wyjątkowego: w tle wykopywał kryptowalutę […]

15 listopada 2021 SDNblog