Androidí botnet se tváří jako aplikace od Googlu, špehuje SMS a e-maily
Karel Kilián
Bezpečnostní výzkumníci označili jako zdroj nově objeveného malwaru Čínu. Škodlivý kód se snaží maskovat jako aplikace Google, jeho cílem je krást obsah SMSek a e-mailů.
Malware, označený jako MisoSMS, je šířen formou SMS phishingu, kdy uživatel klepne na odkaz v textové zprávě, který ho přesměruje na stažení aplikace. Program je pak potenciální oběti prezentován jako systémové nastavení, a pokud ho uživatel nainstaluje, objeví se v seznamu aplikací jako Google Vx. Služba, běžící na pozadí, následně bude odesílat všechny SMSky a e-maily přijaté a odeslané do/ze zařízení na servery, hostované kdesi v Číně.
Google Vx také požádá o oprávnění správce zařízení, které (pokud ho získá) použije ke skrytí sebe sama. Dále se připojí do botnetové infrastruktury útočníka, čítající několik stovek e-mailových účtů, se kterými malware komunikuje. Do schránek pak odesílá všechny přijaté textové zprávy, včetně čísla odesílatele. Pokud není dostupné internetové připojení, což aplikace průběžně kontroluje, dojde k odložení odeslání získaného obsahu na nejbližší připojení.
Falešná aplikace Google VxVýzkumníci z bezpečnostní firmy FireEye, kteří tento malware objevili, tvrdí, že byl použit minimálně pro 64 „útočných kampaní“, zaměřených především na uživatele v Jižní Koreji.
Rozhodně nejde o první škodlivou aplikaci, která se snaží zmocnit obsahu textových zpráv, stejně tak nemůžeme mluvit ani o prvním botnetu postaveném na Androidu. Čím je malware MisoSMS zajímavý, je jeho způsob práce – komunikace skrze e-mailové servery má v této oblasti svou premiéru. Výzkumníci to považují za „zajímavý nový prvek použitý v řadě nedávných útoků na uživatele zařízení s Androidem v Jižní Koreji“.
Marek Houser„Část aplikací, snažících se zcizit obsah textových zpráv, jednoduše přeposílá všechny přijaté SMS na telefonní číslo, které je pod kontrolou útočníka. Jiné odesílají data skrze síťové spojení, přes které také přijímají řídící příkazy. Tento program ale používá k přenosu SMTP připojení“, napsali autoři objevu. Výzkumníci nalezli 450 e-mailových účtů u jednoho nejmenovaného čínské poskytovatele elektronické pošty, které byly při útocích používány. Účty jsou od té doby zakázané.
Androidí botnet se tváří jako aplikace od Googlu, špehuje SMS a e-mailyMisoSMS ukazuje nový typ mobilního ohrožení, který je distribuován přes SMS phishing místo tradičního e-mailu. Proč? Odpověď je jednoduchá – protože odkaz na škodlivý kód ve zprávě elektronické pošty lze snadno odfiltrovat již na straně poštovního serveru antispamem nebo antivirovým programem. V případě SMS v podstatě žádná ochrana před doručovaným obsahem neexistuje.
Samozřejmě infikovat se tímto malwarem vyžaduje poměrně velkou dávku ignorace základních bezpečnostních pravidel:
- Uživatel musí klepnout na odkaz v textové zprávě (ano, to se omylem může stát).
- Uživatel musí odsouhlasit stažení aplikace (to už by samo o sobě měl být moment, kde se elementárně rozumný uživatel zastaví).
- Následně uživatel musí nechat zahájit instalaci (to už raději nebudeme komentovat ;) ).
- K tomu je nutné mít povolené instalace aplikací ze zdrojů třetích stran (zde samozřejmě vidíme možné důvody k dřívějšímu povolení).
- Poté následuje schválení oprávnění k systému (v sobotu jsme si podrobně vysvětlovali, proč je dobré věnovat tomuto kroku náležitou pozornost).
- A nakonec ještě zbývá povolení aplikace jako správce zařízení (opět ponecháváme bez komentáře ;) ).
Je nám jasné, že ze čtenářů SvětAndroida.cz by všechny výše uvedené kroky bezhlavě neabsolvoval nikdo ;). Očividně ale existuje skupina uživatelů, která je „schopna“ si i přes řadu zábran a překážek nainstalovat škodlivou aplikaci do zařízení, ve kterém mají celou řadu osobních a soukromých informací.
Zdroj: ZDNet.
Jakub Kárník
Tomáš Křišťál
David Trlica
Petr Ludvík
Libor Foltýnek
Komentáře (3)
Přidat komentář