Un articol postat pe site-ul TheHackerNews dezvăluie că cercetătorii au descoperit un nou troian care vizează dispozitivele Android exfiltrând datele printr-o varietate de acțiuni, de la colectarea căutărilor browserului până la înregistrarea apelurilor audio și telefonice.

În timp ce versiunile anterioare de malware de pe Android au preluat masca aplicațiilor copiindu-le și purtând denumiri similare cu software-urile legitime, această nouă aplicație rău intenționată sofisticată se maschează ca o aplicație de actualizare a sistemului pentru a prelua controlul dispozitivelor compromise.

„Aplicația spyware creează o notificare dacă ecranul dispozitivului este oprit atunci când primește o comandă folosind serviciul de mesagerie Firebase”, au spus cercetătorii Zimperium într-o analiză publicată la finele săptămânii trecute. „’Searching for update..’ nu este o notificare legitimă emisă de sistemul de operare, ci programul spyware.”

Odată instalată, sofisticata aplicație spyware își duce la îndeplinire sarcina prin înregistrarea dispozitivului pe un server de comandă și control (command-and-control – C2) Firebase cu informații precum procentajul bateriei, statistici de stocare și dacă telefonul are WhatsApp instalat, urmat de acumularea și exportul orice date de interes pentru server sub forma unui fișier ZIP criptat.

Programul spyware are numeroase capabilități cu accent pe stealth, inclusiv tactici pentru a subtiliza contactele, marcajele browserului și istoricul căutărilor, ori mesajele abuzând de serviciile de accesibilitate, putând declanșa înregistrări audio și ale apelurilor telefonice și face fotografii folosind camerele telefonului. De asemenea, poate urmări locația victimei, poate căuta fișiere cu extensii specifice și poate prelua date din clipboardul dispozitivului.

„Funcționalitatea programului spyware și exfiltrarea datelor sunt declanșate în condiții multiple, cum ar fi un nou contact adăugat, un SMS nou primit sau o nouă aplicație instalată utilizând receiver-ele Android contentObserver și Broadcast”, au spus cercetătorii.

Mai mult, malware-ul nu numai că organizează datele colectate în mai multe foldere din spațiul său de stocare privat, ci și șterge orice urmă de activitate rău intenționată prin ștergerea fișierelor ZIP imediat ce primește un mesaj de „succes” din serverul C2 după exfiltrare. Într-o altă încercare de a eluda detectarea și de a naviga sub radar, spyware-ul reduce, de asemenea, consumul de lățime de bandă prin încărcarea de thumbnails, spre deosebire de imaginile și videoclipurile reale prezente în stocarea externă.

Deși aplicația „System Update” nu a fost niciodată distribuită prin canalul oficial Google Play Store, cercetarea evidențiază încă o dată modul în care magazinele de aplicații terțe pot adăposti malware periculos. Identitatea autorilor malware-ului, a victimelor vizate și motivul final din spatele campaniei rămân încă neclare.

Sursa: TheHackerNews