De cyberkriminelle bliver mere og mere opfindsomme. De gør forskellige forsøg på at tilsløre deres malware, de har skabt, og præsentere den som nyttig anvendelse. Gomal udviklere dog, gik en ekstra mil, når du opretter den nye mobile trojanske. Den camouflage de brugte var virkelig kreative, da de tilføjet til deres ondsindet program et spil Tic Tac Toe. I forlængelse af det, implementerede de moderne og interessante teknikker, som er nye for denne type malware.
Hvordan vi lærte om at? Et spil Tic Tac Toe blev sendt til malware forskere analyser. Ved første, alt kiggede ok og den app virkede harmløse.
Malware analysatorer blev sat på vagt ved en liste over flere tilladelser, der blev anmodet om spillet. Der blev rejst spørgsmål - Hvorfor har vi brug internettet til at spille spillet? Hvorfor denne anmodning adgang ansøgning til brugerens kontakter? Hvorfor skal det adgang til SMS-arkiv eller den proces opkald?
Efter en omhyggelig forskning, malware specialister fundet ud af, at dette ikke er et spil, men en kreativ multi-purpose spyware. Efter at den ondsindede app blev markeret som Trojan-Spy.AndroidOS.Gomal.a i Kaspersky Lab produkter.
Den detaljerede analyse af spillet senere afsløret, at det ondsindede program tager 30 % af den eksekverbare fil størrelse og resten af fil bruges til at stjæle af personoplysninger og for at udspionere brugeren.
Spillets kode er markeret med grøn, ondsindet funktionalitet er markeret med rødt.
Brugerne har visse spørgsmål vedrørende funktionaliteten af malware og hvad betyder det omfatte. Eksperterne siger, at denne malware har lydoptagelser funktioner, som er standard for mobil spyware.
Den malware har yderligere funktionalitet for at stjæle af sms:
Udover at, denne trojanske indsamler også oplysninger om enheden, der bruges, og sender data, der er indsamlet til serveren af cyberkriminelle.
Trojan-Spy.AndroidOS.Gomal.a yderligere leverer interessante biblioteker, der distribueres med det.
Hvad betyder det? Den pakke af biblioteker, der kommer udstyret med en udnytte, der anvendes for at få root-rettigheder på Android-enhed. Disse yderligere privilegier at appen adgang til forskellige Linux-tjenester plus evnen til at læse proces hukommelse og / maps.
Når den trojanske får root-adgang, det kan gøre forskellige Spilopmagerne. For eksempel, det kan stjæle e-mails fra den God til Enterprise app (hvis det er installeret på din smartphone). På denne måde kan stjæle vigtige virksomhedsdata. Den trojanske bruger en konsol til at angribe God til Enterprise app og at få fat i ID af processen, så læser den virtuelle fil og kort. I filen er indstillede oplysninger om den hukommelse blokke, der er afsat til programmet.
Når den trojanske får listen hukommelse blokke, den finder blok, der holder dataene ansøgerens string og skaber sin dum ved hjælp af et bibliotek fra emballagen. Den dumme fil, der er skabt af malware søgninger efter emails underskrifter karakteristiske for og derefter de budskaber, der er fundet, er sendt til serveren af cyberkriminelle.
Gomal er også i stand til at stjæle data ved hjælp logcat - det er den logning service, der er indbygget i Android og bruges til debugging af ansøgninger. Faktisk, ansøgningerne fra de udviklere er ofte udsender vigtige data til logcat, både før eller efter apps er blevet frigivet. Dette tillader den trojanske at stjæle fortrolige data fra andre programmer.
Verdict
Tic Tac Toe ligner en harmløs spil, og endnu i dette tilfælde giver cyberkriminelle en adgang til en stor mængde personoplysninger og virksomhedens data. De Gomal malware teknikker, der anvendes her, blev først implementeret i Windows Trojans, Men nu er de anvendes i Android malware samt. Denne teknik kan bruges til at stjæle data fra forskellige applikationer udover Godt til Enterprise - det kan angribe budbringere, e-mails og programmer.
Hvordan man kan reducere risikoen for mobil malware-infektion?
For at kunne reducere risikoen fra mobil malware-infektion, brugerne skal gøre følgende:
- Aktiver aldrig mulighed “Installer applikationer fra tredjeparts kilder”.
- Installere programmer fra eneste officielle kanaler (Google Play, Amazon Store, etc.).
- Studér de rettigheder, som de nye apps anmodning, når de er installeret.
- Forelægges de ønskede rettigheder, der ikke er i korrespondance til de tilsigtede funktioner den app, ikke installere det.
- Arbejde med beskyttelse software.
