Cercetătorii au descoperit un nou malware Android, care găsește informații sensibile stocate pe dispozitivele virusate și le trimite serverelor controlate de către atacatori.
„Aplicația apare sub forma unei actualizări de sistem care trebuie descărcată dintr-un magazin terț”, au declarat cercetătorii din cadrul companiei de securitate Zimperium. De fapt, acesta este un virus de tip cal troian cu acces de la distanță, care primește și execută comenzi de la un server de comandă și control. Virusul oferă o platformă completă de spionaj care realizează o gamă largă de activități rău intenționate.
Compania Zimperium a listat capabilitățile virusului:
- Furtul de mesaje de pe aplicațiile de tip messenger;
- Furtul de fișiere din baza de date ale aplicațiilor de tip messenger;
- Inspectarea marcajelor și a căutărilor implicite de pe browser;
- Inspectarea marcajelor și a istoricului căutărilor din Google Chrome, Mozilla Firefox și browserul de internet Samsung;
- Căutarea fișierelor cu extensii specifice (inclusiv .pdf, .doc, .docx și .xls, .xlsx);
- Inspectarea datelor din clipboard;
- Inspectarea conținutului notificărilor;
- Înregistrarea audio;
- Înregistrarea apelurilor telefonice;
- Realizarea periodică de fotografii (utilizând oricare dintre camerele dispozitivului);
- Listarea aplicațiilor instalate;
- Furtul de imagini și videoclipuri;
- Monitorizarea locației GPS;
- Furtul mesajelor SMS;
- Furtul contactelor telefonice;
- Furtul jurnalelor de apeluri;
- Exportarea informațiilor despre dispozitiv (de exemplu: aplicații instalate, numele dispozitivului, statistici de stocare);
- Ascunderea pictogramei aplicației.
Printre aplicațiile de mesagerie vulnerabile la furtul de baze de date se numără și WhatsApp, o aplicație utilizată miliarde de oameni deoarece utilizatorii sunt de părere că aceasta oferă un nivel de confidențialitate mai ridicat decât alte aplicații de mesagerie. Bazele de date pot fi accesate numai dacă malware-ul are acces de tip root la dispozitivul infectat. Hackerii se pot conecta la dispozitivele infectate atunci când acestea rulează versiuni mai vechi de Android.
Chiar dacă aplicația rău intenționată nu dobândește accesul root, aceasta poate colecta în continuare conversații și detalii despre mesaje de pe WhatsApp.
Serviciile de accesibilitate sunt reprezentate de controale integrate în sistemul de operare care facilitează utilizarea smartphone-urilor de către persoanele cu deficiențe de vedere sau alte dizabilități, de exemplu, prin modificarea afișajului sau prin solicitarea unui feedback vocal din partea dispozitivului. Odată ce serviciile de accesibilitate sunt activate, aplicația modifică conținutul de pe WhatsApp.
O altă capacitate a virusului este furtul fișierelor stocate în spațiul de stocare extern al unui dispozitiv. Pentru a reduce consumul de lățime de bandă, lucru care ar putea alerta victima cu privire la virusarea dispozitivului, aplicația rău intenționată colectează miniaturile imaginii, care au dimensiuni mult mai mici decât imaginile cărora le corespund. Atunci când un dispozitiv este conectat la Wi-Fi, malware-ul trimite date, colectate din toate folderele, către atacatori. Atunci când este disponibilă doar o conexiune mobilă, malware-ul trimite un set de date mai limitat.
Pe cât de completă este platforma de spionaj, aceasta suferă de o limitare cheie, și anume, incapacitatea de a virusa dispozitivele fără ca utilizatorii să ia decizii despre care oamenii mai experimentați știu că nu sunt sigure. În primul rând, utilizatorii trebuie să descarce aplicația dintr-o sursă terță. Pe cât de problematic este Magazinul Play al companiei Google, în general, aceasta este o sursă de încredere pentru a obține aplicații. De asemenea, utilizatorii trebuie să permită rularea serviciilor de accesibilitate pentru o serie de funcțiile avansate.
Cu excepția unei declarații în care au accentuat faptul că malware-ul nu a fost niciodată disponibil în Magazin Play, reprezentanții companiei Google au refuzat să comenteze despre această problemă.