CYBER NEWS

TCL Weer Malware gevonden vooraf geïnstalleerd op Alcatel telefoons

TCL Weer Android Alcatel malware

Een nieuwe security rapport toont aan dat Alcatel smartphones bevatten een Android-malware genaamd TCL Weer. Het bleek geïnstalleerd op twee telefoons en beschikbaar in de Google Play Repository ook.




TCL Weer Android Malware Gebundeld met Alcatel telefoons

Inbedding malware code in Android apps en een poging om de slachtoffers te dwingen tot het installeren is het een van de meest populaire tactieken die gebruikt worden door criminelen. Maar een recente aanval campagne is geïdentificeerd te worden veroorzaakt door een nog eenvoudiger en meer alarmerende methode - vooraf geïnstalleerde toepassingen door de fabrikanten. Dit is het geval bij Alcatel telefoons die bleken dergelijke gevallen bevatten. Openbaarmaking over het probleem werd gemeld door Stroomopwaarts, een drager facturering fraude bedrijf. We herinneren onze lezers dat Alcatel is eigendom van de TCL Corporation die apparaten los onder verschillende merknamen, waaronder BlackBerry.

De kwaadaardige code zelf is te vinden in de applicatie genaamd TCL Weer die zelf is ontwikkeld door hetzelfde bedrijf en vooraf geïnstalleerd op hun apparaten. Het is ook beschikbaar in de Google Play repository - meer dan tien miljoen downloads zijn tot nu toe geregistreerd. Het punt van beveiliging is geen opzet, werd geconstateerd dat op een gegeven moment in de voorgaande jaar de aanvraag werd geïnfecteerd met kwaadaardige code. Zelfs na de bug werd vastgesteld TCL heeft niet gereageerd hoe deze dienst was gehackt.

De weerdienst bleek oogst gebruikersgegevens en stuur ze naar een server die zich in China. Volgens het onderzoek omvat dit de volgende informatie:

  • Geografische locatie
  • E-mailadressen
  • IMEI Codes
  • Andere gegevens zoals geconfigureerd in de code

Twee modellen zijn geweest om te worden getroffen door de bug als het weer dienst werd vooraf geïnstalleerd op hen - de Pixi4 en A3 Max. Andere apparaten kunnen ook ook worden beïnvloed als een Android-gebruiker die de gevaarlijke plugin uit de Google Play Store repository is gedownload.

Verwant: Google weigerde om een ​​Patch in Android Chrome voor 3 jaren

Wat De TCL Weer Malware zou kunnen doen om uw telefoon?

De security rapporten geven aan dat de Android-malware een flink aantal apparaten heeft beïnvloed. De gevaarlijke code probeert de getroffen apparaten abonneren op premium telefoonnummers die leidt tot dure telefoonrekeningen.

Een van de grootste incidenten met dit specifieke malware werd gedaan in Brazilië, waar 2.5 miljoen transactie werden bevestigd te komen van de weerdienst. De besmette apparaten alle verzonden SMS-berichten naar premium telefoonnummers probeert te betalen voor dure digitale diensten. Gelukkig werden zij geblokkeerd door de dragers. Deze kortstondige campagne vond plaats in juli en augustus 2018 voor zijn tactiek te veranderen. De eerste golf van aanvallen genummerde 128,845 unieke telefoonnummers. De tweede poging was voor een andere premium-service, die ook werd geblokkeerd tijdig. Dit gebeurde in dezelfde periode in totaal 428,291 transactie pogingen.

Twee andere campagnes die werden bevestigd door deze malware zijn de volgende::

  • De Kuwait Attack - Een andere beïnvloed land Koeweit, waar 78,940 transactie werden ontdekt tijdens het Brazilië campagne.
  • Afrika Aanvallen - Geblokkeerde transactie verzoeken werden gedetecteerd in verschillende Afrikaanse landen, waaronder Nigeria, Egypte, Zuid-Afrika en Tunesië.

Volgens de nieuwsberichten is de Android malware gevonden in zeven markten en als het succesvol was het zou leiden tot een verlies van ongeveer $1.5 miljoen apparaat eigenaren.

Upstream kocht een apparaat uit een vorige eigenaar en meldde dat adware-achtig gedrag is ook geïdentificeerd. Analyse van het weer app code laat zien dat bij lancering zal het een verborgen data met vooraf ingestelde landing pages browser starten. Dit proces zal op de geplaatste advertenties die inkomsten voor de hacker operators zal genereren. Als gevolg van deze de analisten melden dat tussen 50 aan 250 MB data werd elke dag opgenomen in dergelijke geautomatiseerde activiteiten.

Onderzoek van de besmette telefoons toont ook aan dat de kwaadaardige APK-bestanden zijn overmatige Android permissies:

  • CHANGE_WIFI_STATE - Hiermee kan de app de status van de Wi-Fi-netwerk wijzigen
  • MOUNT_UNMOUNT_FILESYSTEMS - Maakt montage en unmounten van bestandssystemen (dat wil zeggen. externe SD-kaarten). Android documentatie zegt dat de toestemming is niet bedoeld voor 3rd party applicaties
  • READ_PHONE_STATE - Maakt alleen-lezen toegang tot de telefoon staat, met inbegrip van het telefoonnummer van het apparaat, huidige mobiele netwerk informatie, de status van een lopende gesprekken, en een lijst van alle PhoneAccounts geregistreerd op het apparaat. Documentatie zegt dat deze toestemming is gevaarlijk
  • LEES / WRITE_EXTERNAL_STORAGE - Maakt het lezen en schrijven van de externe opslag. Dit is gevaarlijk (de toepassing toegang tot andere gebruiker bestanden en / of 3rd party app logs kunnen hebben, systeem logs. Dit betekent dat de applicatie kan lezen / schrijven alles wat hij wil en de gelezen gegevens kunnen naar de server worden gestuurd
  • ACCESS_KEYGUARD_SECURE_STORAGE - Deze toestemming werd verwijderd in de OS sinds 4.4 (KitKat). Maar voor apparaten die lager zijn dan die versie, Deze toelating kan een fout controle in het besturingssysteem te vergrendelen en ontgrendelen van de inrichting te allen tijde (zoals het indrukken van de knop en het ontsluiten van de telefoon)
  • READ_LOGS - Hiermee kan een app de low-level systeem log-bestanden te lezen. Niet voor gebruik door toepassingen van derden, omdat logbestanden persoonlijke gegevens van de gebruiker kan bevatten.
  • SET_DEBUG_APP - configureren van een aanvraag voor het debuggen

Hoewel het bedrijf niet heeft aangekondigd aangekondigd de oorsprong van de kwaadaardige code zijn er twee mogelijke oorzaken die worden beschouwd als de meest waarschijnlijke:

  • Application Vulnerability - De criminelen achter de malware code installatie kan hebben geïdentificeerd tekortkomingen in de toepassing en gebruikte het om de gevaarlijke code insluiten.
  • App Inhaal - De hackers zouden de repository of de inrichting hebben de productie van de telefoons om ze opnieuw te configureren met de nodige malware hebben gehackt.

Alle gevaarlijke versies werden vervolgens uit de Google Play Store verwijderd.

avatar

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten - Website

Volg mij:
TjilpenGoogle Plus

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...