Un nuovo malware Android è stato scoperto. KevDroid soprannominato, il malware viene distribuito sotto forma di un'applicazione anti-virus falsi chiamato Naver Defender. KevDroid è infatti uno strumento di amministrazione remoto che ruba dati sensibili da dispositivi infetti. Tuttavia, il malware è anche in grado di telefonate di registrazione.
KevDroid Android Malware Dettagli tecnici
KevDroid è stato scoperto dai ricercatori ESET, e più tardi è stato analizzato da Cisco Talos.
Talos ha identificato due varianti di Android Remote Administration Tool (RAT). Entrambi i campioni hanno le stesse capacità - vale a dire per rubare le informazioni sul dispositivo compromesso (come contatti, la storia SMS e telefono) e registrare le telefonate della vittima.
Una variante del malware è stato rilevato per sfruttare una nota Android exploit – CVE-2015-3636 – al fine di ottenere l'accesso root sul dispositivo Android compromessa, i ricercatori hanno detto nella loro analisi dettagliata. Inoltre, dati raccolti da entrambe le varianti è stato inviato tramite HTTP POST a un server di comando e controllo unico. Per quanto riguarda la capacità di registrare le chiamate - è stato implementato sulla base di un progetto open-source disponibile su GitHub.
I ricercatori non sono ancora sicuro chi è dietro la campagna di malware. Tuttavia, in base alla copertura dei media della Corea del Sud, il malware KevDroid può essere collegato alla Corea del Nord gruppo sponsorizzato dallo stato nota come Gruppo 123 che è dietro le campagne di spionaggio informatici.
L'attuale elenco di funzionalità maligni che KevDroid ha include la registrazione delle telefonate e dei dati audio, rubare cronologia web e file, ottenere accesso root, rubare i registri delle chiamate, Sms, e-mail, la raccolta di posizione del dispositivo ogni 10 secondi, e la raccolta l'elenco di tutte le applicazioni installate.
Quali Аre le conseguenze di un'infezione KevDroid?
Se gli attaccanti sono riusciti a ottenere alcuni dei dati del malware è in grado di raccolta, che potrebbe tradursi in una serie di questioni per l'utente infetto, ricercatori disse.
Dal momento che i telefoni cellulari sono utilizzati in quasi tutte le attività, essi contengono tonnellate di sensibili e dati personali identificabili, come le fotografie, password, informazioni bancarie. Un'infezione con KevDroid potrebbe comportare la perdita di dati, che inesorabilmente potrebbe portare a una serie di risultati.
A seconda dello stato della vittima (come utente aziendale), il risultato di questa infezione potrebbe anche portare al sequestro di una persona cara, ricatti utilizzando immagini o informazioni segrete, raccolta credenziali, multi-fattore di token di accesso (SMS MFA), banking / implicazioni finanziarie e l'accesso alle informazioni privilegiate tramite e-mail / testi, i ricercatori hanno avvertito. Molti utenti accedere alla posta elettronica aziendale tramite dispositivi mobili.