Nowoczesne telefony stają się coraz większym magnesem na cyberprzestępców. Co kilka dni odkrywany jest nowy typ złośliwego oprogramowania, który nęka użytkowników Androida. Nie inaczej jest tym razem – ekspertom do spraw bezpieczeństwa udało się niedawno wytropić groźny malware, którego historia sięga aż października 2015 roku. Program ten ma naprawdę zaskakujące możliwości – jest w stanie zrootować aż 1/4 urządzeń dostępnych na rynku, śledzić użytkownika smartfona oraz wykraść dane z ponad 40 aplikacji dostępnych w sklepie Google Play.
O czym mowa?
Oprogramowanie o nazwie SpyDealer rozprzestrzenia się dzięki aplikacjom spoza sklepu Google Play, na telefony użytkowników może więc trafiać z innych sklepów z aplikacjami lub po prostu przez pliki .apk pobrane z Internetu. Jego możliwości to m.in.:
- Możliwość kradzieży danych z następujących aplikacji: WeChat, Facebook, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo, Android Native Browser, Firefox Browser, Oupeng Brower, QQ Mail, NetEase Mail, Taobao oraz Baidu Net Disk,
- Możliwość kontroli zainfekowanego urządzenia przez kanały UDP, TCP oraz SMS,
- Możliwość wykonywania zrzutów ekranu na telefonie,
- Możliwość nagrywania dźwięki i materiałów wideo przez ukryte połączenia ze smartfonem,
- Możliwość wykonywania zdjęć za pomocą przedniego i tylnego aparatu,
- Możliwość monitorowania lokalizacji telefonu,
- Automatyczne odbieranie połączeń od ustalonego numeru telefonu,
- Możliwość zbierania następujących informacji o użytkowniku: IMEI, IMSI, SMS, MMS, kontakty, konta, historia połączeń, lokalizacja oraz informacje o Wi-Fi.
Jak program uzyskuje uprawnienia?
Większość z wymienionych przeze mnie wyżej możliwości SpyDealer’a to zaawansowane operacje. Skąd więc program ten uzyskuje uprawnienia, dzięki którym może śledzić swoją ofiarę w ten sposób? Okazuje się, że malware ten rootuje telefon, na którym został zainstalowany dzięki programowi Baidu Easy Root. Jest to aplikacja na Androida, który wykorzystuje luki w systemie, by zrootować smartfon. Program ten jest w stanie uzyskać uprawnienia SuperUsera na większości urządzeń działających pod kontrolą Androida 2.2-4.4. W przypadku, gdy SpyDealer nie będzie w stanie nadać sobie wyższych uprawnień, to dalej będzie śledził swoją ofiarę, jednak w nieco mniej przerażający sposób – będzie on po prostu zbierał podstawowe informacje o lokalizacji telefonu, połączeniach itp. Nie wiadomo gdzie wysyłane są informacje, które zostały uzyskane od zainfekowanych użytkowników.
Czy jestem bezpieczny?
Jeśli Twój telefon działa pod kontrolą Androida Lollipop lub nowszej wersji, to powinieneś być bezpieczny – Baidu Easy Root nie będzie w stanie uzyskać uprawnień SuperUsera na Twoim urządzeniu. Warto jednak pamiętać, że dalej posiadamy bardzo mało informacji na temat tego malware, więc lepiej zachować wzmożoną ostrożność w przypadku instalacji podejrzanych plików .apk. Nowsze wersje systemu Google są więc bezpieczne, a dodatkowo SpyDealer jest wykrywany przez system Google Play Protect. Malware w systemie ukrywa się w procesach GoogleService i GoogleUpdate. By zapobiec infekcji swojego telefonu, pamiętajcie, by pobierać aplikacje wyłącznie z zaufanych źródeł.
Źródło: Paloalto