De cybercriminelen worden steeds meer en meer inventief. Ze maken verschillende pogingen om de malware die ze hebben gecreëerd vermommen en presenteren het als nuttige toepassing. Gomal ontwikkelaars echter, ging een extra mijl bij het maken van de nieuwe mobiele Trojan. De camouflage ze gebruikten was echt creatief, omdat ze aan hun kwaadaardige programma een spelletje Tic Tac Toe. Naar aanleiding van dat, ze moderne en interessante technieken geïmplementeerd, die nieuw is voor dat type van malware zijn.
Hoe we geleerd over dat? Een spel van Tic Tac Toe is verzonden naar de malware onderzoekers voor analyses. Eerst, alles zag er ok uit en de app leek ongevaarlijk.
De malware analyzers werden ingesteld op de waarschuwing door een lijst met verschillende machtigingen die door het spel werden gevraagd. Vragen zijn gerezen - Waarom moeten we internet om het spel te spelen? Waarom doet deze applicatie verzoek toegang tot de contacten van de gebruiker? Waarom duurt het de toegang tot de SMS-archief of om het proces gesprekken nodig?
Na een zorgvuldig onderzoek, de malware specialisten erachter dat dit geen spel, maar een creatieve multifunctionele spyware. Na dat de kwaadaardige app werd gemarkeerd als Trojan-Spy.AndroidOS.Gomal.a in de producten van Kaspersky Lab.
De gedetailleerde analyse van het spel later bleek dat het kwaadaardig programma neemt 30 % van de grootte van het uitvoerbare bestand en de rest van het bestand wordt gebruikt voor het stelen van persoonlijke gegevens en voor het bespioneren van de gebruiker.
De game code is gemarkeerd in het groen, de kwaadaardige functionaliteit is gemarkeerd in het rood.
De gebruikers hebben bepaalde vragen over de functionaliteit van de malware en wat houdt het in. De deskundigen zeggen dat deze malware heeft geluid opnamefuncties, die standaard voor de mobiele spyware zijn.
De malware heeft verder functionaliteit voor het stelen van SMS:
Daarnaast, Dit Trojaanse paard is ook informatie over het apparaat te verzamelen die gebruikt wordt en stuurt de gegevens die zijn verzameld op de server van de cybercriminelen.
Trojan-Spy.AndroidOS.Gomal.a levert verder interessante bibliotheken die worden gedistribueerd met het.
Wat betekent dit? Het pakket van de bibliotheken die wordt geleverd is voorzien van een exploit die wordt toegepast om root privileges te krijgen op de Android-toestel. Deze extra privileges kan de app toegang tot de verschillende Linux-diensten plus de mogelijkheid om proces-geheugen en / kaartlezen.
Zodra het Trojaanse paard krijgt root-toegang, het kan verschillende kwaden doen. Bijvoorbeeld, het kan e-mails van de Good for Enterprise app stelen (als deze is geïnstalleerd op de smartphone). Op deze manier kan het belangrijk informatie te stelen. De Trojan maakt gebruik van een console om het Goede te vallen voor Enterprise app en de richting van de ID van het proces krijgen, Vervolgens leest de virtuele file en kaarten. In het bestand is ingesteld informatie over het geheugen blokken die zijn toegewezen aan de toepassing.
Zodra de Trojan krijgt de lijst memory blocks, het vindt het blok dat de string gegevens van de aanvrager houdt en creëert zijn dom met behulp van een bibliotheek uit de verpakking. De domme bestand dat wordt gemaakt door de malware zoekt handtekeningen emails 'kenmerk van en dan de berichten die zijn gevonden op de server van de cybercriminelen gestuurd.
Gomal kan ook stelen van gegevens met behulp logcat - dit is de logging service die is ingebouwd in Android en wordt gebruikt voor het debuggen van de aanvragen. In feite, de toepassingen van de ontwikkelaars zijn vaak uitvoeren van belangrijke data op logcat, zowel voor als na de apps zijn vrijgegeven. Hierdoor kan de Trojan tot vertrouwelijke gegevens uit de andere programma's te stelen.
The Verdict
Tic Tac Toe ziet eruit als een onschuldig spel en toch in dit geval geeft het de cybercriminelen een toegang tot een grote hoeveelheid persoonlijke gegevens en bedrijfsgegevens. De Gomal malware technieken die hier worden toegepast werden voor het eerst geïmplementeerd in Windows Trojans, Maar nu worden ze toegepast in de Android malware en het. Deze techniek kan worden gebruikt om gegevens uit verschillende toepassingen naast Geschikt voor Enterprise steel - kan boodschappers aanvallen, e-mails en programma's.
Hoe het risico van mobiele malware infectie?
Om de risico's van mobiele malware-infectie met succes te verminderen, de gebruikers moeten het volgende doen:
- Knijp nooit de optie “Installeer applicaties van derden bronnen”.
- Toepassingen installeren van enige officiële kanalen (Google Play, Amazon Store, etc.).
- Bestudeer de rechten die de nieuwe apps te vragen wanneer ze zijn geïnstalleerd.
- Als de gevraagde rechten zijn niet in overeenstemming met de beoogde functies van de app, installeer het niet.
- Werken met beveiligingssoftware.
