Zdajemy sobie sprawę z tego, że zagrożenia związane z korzystaniem z technologii mobilnych z dnia na dzień stają się coraz bardziej wyrafinowane. Cyberprzestępcy wykorzystują coraz to nowe luki w zabezpieczeniach, opracowują również nowe techniki ułatwiające im ataki na nasze smartfony i tablety.
Większość użytkowników urządzeń nie zdaje sobie w pełni sprawy z istniejących zagrożeń, można ich więc z łatwością przechytrzyć i obejść środki ochrony urządzeń. Oznacza to, że gdy korzystają oni z urządzeń do celów służbowych, mogą wówczas narażać na zagrożenie wrażliwe dane firmowe i swoje własne – twierdzą specjaliści z firmy Check Point Software Technologies.
Ostatnio badacze odkryli dwa nowe konie trojańskie umożliwiające zdalny dostęp do urządzeń mobilnych (mRAT), które sprytni cyberprzestępcy zdołali przemycić na urządzenia mobilne nieświadomych użytkowników bazujące na systemie Android. Wspomniane trojany są dobitnym przykładem tego, w jaki sposób urządzenia mobilne atakowane są przez złośliwe oprogramowanie, co – przy braku odpowiednich zabezpieczeń – może prowadzić do katastrofalnych w skutkach kradzieży danych mobilnych.
OmniRat zwodzi podczas wyprzedaży w Czarny Piątek
Cyberprzestępcy nie próżnowali i zaatakowali osoby polujące na najlepsze oferty wakacyjne podczas tegorocznych wyprzedaży Black Friday. Przebiegłe oszustwa typu phishing wykorzystały obietnicę najlepszych cen, aby zwabić użytkowników i nakłonić ich do pobrania i zainstalowania w systemie Android złośliwego droppera podszywającego się pod oficjalną aplikację Amazon.
Nasi badacze odkryli, że dropper i jego ładunek są przypisane do OmniRat, dostępnego komercyjnie produktu typu spyphone. Po zainstalowaniu na urządzeniu aplikacja dekoduje ukryty plik .apk zakodowany w ciągu w formacie base64 znajdującym się w jej folderze zasobów. Plik .apk staje się wówczas mobilnym koniem trojańskim typu mRAT, który niepostrzeżenie wykrada informacje z urządzeń użytkowników, a następnie wysyła je na zdalny serwer autora ataku. – twierdzi Oren Koriat, analitykiem ds. bezpieczeństwa informacji na urządzeniach mobilnych z firmy Check Point.
Taki koń trojański jest w stanie przekazać atakującemu niebywałą ilość danych, takich jak informacje dotyczące lokalizacji, parametry aparatu fotograficznego, listy kontaktów, rejestr połączeń, zakładki w przeglądarkach i wyszukiwane frazy, dane systemowe i wiele innych.
Złośliwe programy łączą się z Androidem
Badacze zagrożeń mobilnych dość często spotykają złośliwe aplikacje na system Android usiłujące połączyć się z usługą administrowania urządzeniem, aby nie dało się ich usunąć. Ostatnio zaobserwowano jednak kilka aplikacji wykorzystujących nową, kreatywną metodę: łączenie się z usługą ułatwienia dostępu.
Usługa ułatwienia dostępu systemu Android, jak sugeruje sama nazwa, ma na celu umożliwienie dostępu do danych użytkownikom o specjalnych potrzebach. Np. użytkownik niedowidzący może potrzebować aplikacji, która odczyta mu na głos wiadomość tekstową. Tego typu aplikacje łączą się z usługami ułatwienia dostępu w systemie Android, co daje im dostęp do wiadomości tekstowych użytkownika, które będą odczytywać na głos.
Wszystko to brzmi wspaniale, ale czy cyberprzestępcy nie wykorzystają tej funkcjonalność do uwolnienia swojej aplikacji z sandboxa i kradzieży prywatnych danych użytkownika? Okazuje się, że kilku twórców złośliwego oprogramowania poszło ostatnio właśnie tą drogą.
Historia zaczyna się w Japonii, gdzie powstał lokalny wariant znanego konia trojańskiego AndroRAT. Ten wariant AndroRAT – odkryty przez badaczy z firmy Lookout i przez nich ochrzczony mianem AndroRATintern – nielegalnie wykorzystywał usługę ułatwiania dostępu w celu wykradania wiadomości z LINE, japońskiego komunikatora. – opisuje Oren Koriat. Twórcy złośliwego oprogramowania nie marnowali czasu – odkryto całą rodzinę rozpowszechnianych już nieusuwalnych trojanów zwanych Shedun korzystających z tych samych usług w celu uzyskania dostępu do danych – dodaje Koriat – analitykiem ds. bezpieczeństwa informacji na urządzeniach mobilnych w grupie badawczej Check Point Mobile Threat Prevention Research Group
Nowy złośliwy kod stosuje też nieco inżynierii społecznej, ponieważ system Android sugeruje użytkownikowi, aby ten udzielił złośliwej aplikacji zgody na połączenie z usługą ułatwiania dostępu. Natomiast w przypadku Shedun autorzy konia trojańskiego uśpili czujność swych ofiar komunikatem wstępnym sugerującym, że użytkownik powinien „bez obaw” włączyć funkcję ułatwienia dostępu.
źródło: Check Point
