Jak mobilny trojan mRAT zakodowany w pliku .apk szpieguje użytkowników

7 grudnia, 2015

Zdajemy sobie sprawę z tego, że zagrożenia związane z korzystaniem z technologii mobilnych z dnia na dzień stają się coraz bardziej wyrafinowane. Cyberprzestępcy wykorzystują coraz to nowe luki w zabezpieczeniach, opracowują również nowe techniki ułatwiające im ataki na nasze smartfony i tablety.
 
Większość użytkowników urządzeń nie zdaje sobie w pełni sprawy z istniejących zagrożeń, można ich więc z łatwością przechytrzyć i obejść środki ochrony urządzeń. Oznacza to, że gdy korzystają oni z urządzeń do celów służbowych, mogą wówczas narażać na zagrożenie wrażliwe dane firmowe i swoje własne – twierdzą specjaliści z firmy Check Point Software Technologies.
 
Ostatnio badacze odkryli dwa nowe konie trojańskie umożliwiające zdalny dostęp do urządzeń mobilnych (mRAT), które sprytni cyberprzestępcy zdołali przemycić na urządzenia mobilne nieświadomych użytkowników bazujące na systemie Android. Wspomniane trojany są dobitnym przykładem tego, w jaki sposób urządzenia mobilne atakowane są przez złośliwe oprogramowanie, co – przy braku odpowiednich zabezpieczeń – może prowadzić do katastrofalnych w skutkach kradzieży danych mobilnych. 
 
OmniRat zwodzi podczas wyprzedaży w Czarny Piątek
 
Cyberprzestępcy nie próżnowali i zaatakowali osoby polujące na najlepsze oferty wakacyjne podczas tegorocznych wyprzedaży Black Friday. Przebiegłe oszustwa typu phishing wykorzystały obietnicę najlepszych cen, aby zwabić użytkowników i nakłonić ich do pobrania i zainstalowania w systemie Android złośliwego droppera podszywającego się pod oficjalną aplikację Amazon. 

Nasi badacze odkryli, że dropper i jego ładunek są przypisane do OmniRat, dostępnego komercyjnie produktu typu spyphone. Po zainstalowaniu na urządzeniu aplikacja dekoduje ukryty plik .apk zakodowany w ciągu w formacie base64 znajdującym się w jej folderze zasobów. Plik .apk staje się wówczas mobilnym koniem trojańskim typu mRAT, który niepostrzeżenie wykrada informacje z urządzeń użytkowników, a następnie wysyła je na zdalny serwer autora ataku. – twierdzi Oren Koriat, analitykiem ds. bezpieczeństwa informacji na urządzeniach mobilnych z firmy Check Point.

 Taki koń trojański jest w stanie przekazać atakującemu niebywałą ilość danych, takich jak informacje dotyczące lokalizacji, parametry aparatu fotograficznego, listy kontaktów, rejestr połączeń, zakładki w przeglądarkach i wyszukiwane frazy, dane systemowe i wiele innych. 
 
Złośliwe programy łączą się z Androidem 
 
Badacze zagrożeń mobilnych dość często spotykają złośliwe aplikacje na system Android usiłujące połączyć się z usługą administrowania urządzeniem, aby nie dało się ich usunąć. Ostatnio zaobserwowano jednak kilka aplikacji wykorzystujących nową, kreatywną metodę: łączenie się z usługą ułatwienia dostępu.
 
Usługa ułatwienia dostępu systemu Android, jak sugeruje sama nazwa, ma na celu umożliwienie dostępu do danych użytkownikom o specjalnych potrzebach. Np. użytkownik niedowidzący może potrzebować aplikacji, która odczyta mu na głos wiadomość tekstową. Tego typu aplikacje łączą się z usługami ułatwienia dostępu w systemie Android, co daje im dostęp do wiadomości tekstowych użytkownika, które będą odczytywać na głos.
 
Wszystko to brzmi wspaniale, ale czy cyberprzestępcy nie wykorzystają tej funkcjonalność do uwolnienia swojej aplikacji z sandboxa i kradzieży prywatnych danych użytkownika? Okazuje się, że kilku twórców złośliwego oprogramowania poszło ostatnio właśnie tą drogą. 

Historia zaczyna się w Japonii, gdzie powstał lokalny wariant znanego konia trojańskiego AndroRAT. Ten wariant AndroRAT – odkryty przez badaczy z firmy Lookout i przez nich ochrzczony mianem AndroRATintern – nielegalnie wykorzystywał usługę ułatwiania dostępu w celu wykradania wiadomości z LINE, japońskiego komunikatora. – opisuje Oren Koriat. Twórcy złośliwego oprogramowania nie marnowali czasu – odkryto całą rodzinę rozpowszechnianych już nieusuwalnych trojanów zwanych Shedun korzystających z tych samych usług w celu uzyskania dostępu do danych – dodaje Koriat – analitykiem ds. bezpieczeństwa informacji na urządzeniach mobilnych w grupie badawczej Check Point Mobile Threat Prevention Research Group 

Nowy złośliwy kod stosuje też nieco inżynierii społecznej, ponieważ system Android sugeruje użytkownikowi, aby ten udzielił złośliwej aplikacji zgody na połączenie z usługą ułatwiania dostępu. Natomiast w przypadku Shedun autorzy konia trojańskiego uśpili czujność swych ofiar komunikatem wstępnym sugerującym, że użytkownik powinien „bez obaw” włączyć funkcję ułatwienia dostępu.

źródło: Check Point 

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]