I criminali informatici stanno diventando sempre più inventiva. Stanno facendo diversi tentativi di mascherare il malware che hanno creato e presentarlo come applicazione utile. Sviluppatori Gomal tuttavia, andò un miglio in più durante la creazione del nuovo Trojan cellulare. Il camuffamento hanno usato era davvero creativo in quanto hanno aggiunto al loro programma dannoso un gioco di Tic Tac Toe. In seguito a tale, essi attuate tecniche moderne e interessanti, che sono nuovi a questo tipo di malware.
Come abbiamo imparato a conoscere che? Un gioco di Tic Tac Toe è stato inviato ai ricercatori di malware per analisi. All'inizio, tutto sembrava ok e l'applicazione sembrava innocuo.
Gli analizzatori di malware sono stati fissati in allerta da un elenco di diverse autorizzazioni che sono state richieste dal gioco. Le domande sono state sollevate - Perché abbiamo bisogno di internet per giocare il gioco? Perché questa applicazione l'accesso richiesta ai contatti dell'utente? Perché ha bisogno di accedere all'archivio SMS o per le chiamate di processo?
Dopo un'attenta ricerca, gli specialisti del malware scoperto che questo non è un gioco, ma un multi-purpose creativo spyware. Dopo che l'applicazione maligno è stato contrassegnato come Trojan-Spy.AndroidOS.Gomal.a nei prodotti Kaspersky Lab.
L'analisi dettagliata del gioco in seguito rivelato che il programma dannoso prende 30 % delle dimensioni del file eseguibile e il resto del file viene utilizzato per il furto dei dati personali e per spiare l'utente.
Il codice del gioco è segnato in verde, la funzionalità dannoso è segnato in rosso.
Gli utenti hanno determinate questioni riguardanti la funzionalità del malware e cosa comprende. Gli esperti dicono che questo malware ha funzioni di registrazione sonora, che sono standard per la telefonia mobile spyware.
Il malware ha inoltre funzionalità per il furto di SMS:
Oltre che, questo Trojan raccoglie anche informazioni relative al dispositivo che viene utilizzato e invia i dati che sono stati raccolti al server dei criminali informatici.
Trojan-Spy.AndroidOS.Gomal.a offre inoltre interessanti librerie che sono distribuiti con esso.
Che cosa significa questo? Il pacchetto di librerie che viene dotato di un exploit che viene applicato al fine di ottenere i privilegi di root sul dispositivo Android. Questi privilegi aggiuntivi permettono l'accesso all'applicazione di diversi servizi Linux oltre alla possibilità di leggere la memoria di processo e / mappe.
Quando il Trojan ottiene l'accesso di root, che può fare diversi mali. Per esempio, si può rubare le email dalla Good for Enterprise app (se è installato sullo smartphone). In questo modo si può rubare importanti dati aziendali. Il Trojan utilizza una console per attaccare il Good for Enterprise app e di entrare in possesso della ID del processo, quindi legge il file virtuale e mappe. Nel file sono le informazioni relative ai set di blocchi di memoria allocati per l'applicazione.
Una volta che il Trojan ottiene la lista dei blocchi di memoria, trova il blocco che mantiene i dati di stringa del richiedente e crea il suo muto utilizzando una libreria dal pacchetto. Il file muto che viene creato dalle ricerche di malware per le firme caratteristici di e-mail "e poi i messaggi che si trovano vengono inviati al server dei criminali informatici.
Gomal è anche in grado di rubare dati utilizzando logcat - questo è il servizio di registrazione che è costruito in Android e viene utilizzato per il debug delle applicazioni. Infatti, le applicazioni degli sviluppatori sono spesso l'emissione dei dati importanti da logcat, sia prima o dopo le applicazioni sono state rilasciate. Questo permette al Trojan di rubare i dati riservati da altri programmi.
Il verdetto
Tic Tac Toe si presenta come un gioco innocuo, eppure in questo caso si dà ai cyber criminali un accesso ad una grande quantità di dati personali e di dati aziendali. Le tecniche di malware Gomal che vengono applicate qui sono stati implementati in di Windows Trojan, tuttavia ora sono applicati in malware Android pure. Questa tecnica può essere usata per rubare i dati provenienti da diverse applicazioni oltre Good for Enterprise - può attaccare messaggeri, e-mail e programmi.
Come ridurre il rischio di infezione da malware mobile?
Al fine di ridurre con successo il rischio di infezione malware mobile, gli utenti devono eseguire le seguenti operazioni:
- Non attivare l'opzione “Installare applicazioni da fonti di terze parti”.
- Installare applicazioni da solo i canali ufficiali (Google Play, Amazon Negozio, eccetera).
- Studiare i diritti che le nuove applicazioni richiedono quando sono installati.
- Nel caso in cui i diritti richiesti non sono in corrispondenza alle funzioni previste le App, non installare.
- Lavora con software di protezione.