Backdoor na Androida przejmował kontrolę nad SMSami i szpiegował rozmowy

[OXYGEN THIEF]

Zespół ds. bezpieczeństwa w sklepie Google Play przekazał informacje, z których możemy wyczytać, że w oficjalnym sklepie aplikacji dla Androida pojawił się spyware, który jest w stanie wykradać szczegółowe dane aplikacji społecznościowych oraz szpiegować nasze rozmowy na WhatsApp, Viber i Skype.

Zaloguj lub Zarejestruj się aby zobaczyć!

Malware, znany jako Tizi, opisywany jest jako pełni funkcjonalny backdoor, który jest w stanie zrootować system i szpiegować poczynania użytkownika bez jego wiedzy. Oprogramowanie to znane jest w krajach afrykańskich gdzie używane było do ataków cyberterrorystycznych. Co ciekawe, szkodliwe oprogramowanie reklamowane było w serwisach społecznościowych i Google Play.


Przechwytywanie wiadomości z aplikacji typu WhatsApp, Telegram, Viber czy Skype to nie wszystko, Tizi potrafi również wysyłać i odbierać wiadomości SMS, ma dostęp do historii połączeń, kalendarza, zdjęć czy kluczy szyfrujących Wi-Fi oraz zainstalowanych aplikacji. Dodatkowo Tizi potrafi nagrywać audio oraz robić zdjęcia bez wiedzy użytkownika – ostrzegają eksperci firmy Bitdefender.


Po zrootowaniu, Tizi kradnie poufne dane z popularnych aplikacji społecznościowych takich jak Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn i Telegram. Zazwyczaj pierwszym ruchem jaki wykonuje malware jest wysyłanie wiadomości SMS ze współrzędnymi GPS urządzenia pod określony numer. Komunikaty, które sterują oprogramowaniem zazwyczaj wykonywane są za pośrednictwem zwykłego protokołu HTTPS, chociaż niektóre wersje Tizi używają protokoły przesyłania komunikatów MQTT z niestandardowym serwerem. Backdoor zawiera różne funkcje podobne do tego, które używają komercyjne spyware, czyli może nagrywać rozmowy z WhatsApp, Viber i Skype; wysyłać i odbierać wiadomości SMS; ma dostęp do kalendarza, rejestru połączeń, kontaktów, zdjęć, kluczy szyfrujących Wi-Fi oraz listy wszelkich zainstalowanych aplikacji. Ma również zdolność nagrywania dźwięku otoczenia oraz robienia zdjęć bez wyświetlania obrazu na ekranie urządzenia.

info:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Jarom]

Jest fajnie. Nie no, co ja tu piszę? Jest po prostu nieziemsko super!

 

[vitio]

Ja to boję się używania Androida - prawie codziennie jakiś malware i to w oficjalnym sklepie.

 

[spamtrash]

Tizi kizi mizi...
Dobra, trochę technikaliów:
1. PYTA właściciela zrootowanego telefonu o uprawnienia;
2. Niezrootowany tel może zrootować za pomocą CVE-2012-4220, CVE-2013-2596, CVE-2013-2597, CVE-2013-2595, CVE-2013-2094, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636, CVE-2015-1805
3. Po pierwszej inicjacji przesyła lokalizację GPS do serwera C&C

4. Atakuje przede wszystkim userów z Afryki:

5. Jest (był) aktywny na rynku od 2015, i biorąc pod uwagę podatności (podane wyżej) każdy fon który ma sercurity patch po April 2016 powinien być bezpieczny
6. Obecnie zabezpiecza przed nim Google protect, więc manie włączonego powinno załatwić sprawę
7. Instalacja np. aplikacji latarki żądającej dostępu do SMS, kontaktów, GPS itp... no takie coś powinno się leczyć
8. Znaleziono w 3 (słownie: TRZECH) aplikacjach:
com.press.nasa.com.tanofresh (4d780a6fc18458311250d4d1edc750468fdb9b3e4c950dce5b35d4567b47d4a7)
com.dailyworkout.tizi (7c6af091a7b0f04fb5b212bd3c180ddcc6abf7cd77478fd22595e5b7aa7cfd9f)
com.system.update.systemupdate (7a956c754f003a219ea1d2205de3ef5bc354419985a487254b8aeb865442a55e)

Podsumowując:
a) stare;
b) jak większość na Androida wymaga od usera dużego samozaparcia i odrobiny beztroski w akceptacji zezwoleń;
c) uszyte na Afrykę
d) ograniczone do 3 aplikacji (choć z pewnością znajdzie naśladowców)

P.S.: Mam Nokię 5510 i wali mnie