Eksperci ds. cyberbezpieczeństwa wykryli groźny malware, który krąży po urządzeniach z Androidem. SoumniBot może ominąć część środków bezpieczeństwa, stosowanych w urządzeniach.
Każda aplikacja ma tzw. manifest, który zawiera informacje na temat jej komponentów, uprawnień oraz danych. Najnowszy malware na Androida o nazwie SoumniBot wykorzystuje trzy różne metody związane z manifestem, aby ukryć się przed mechanizmami bezpieczeństwa systemu operacyjnego. Dzięki temu może posłużyć między innymi do kradzieży pieniędzy z konta nieświadomych użytkowników.
Po pierwsze, SoumniBot używa nieprawidłowej wartości kompresji przy rozpakowywaniu manifestu APK. System nie traktuje tego jako niedopuszczalne. Zamiast tego uznaje plik jako nierozpakowany, co pozwala na ominięcie kontroli bezpieczeństwa.
Po drugie, błędnie raportuje rozmiar pliku manifestu, który w rzeczywistości jest większy. Jako że został rozpoznany jako nierozpakowany, to dzięki temu jest kopiowany bezpośrednio z archiwum. Po trzecie używa bardzo długich ciągów znaków w manifeście, co utrudnia automatyczną analizę, ponieważ często brakuje pamięci do ich przetworzenia.
Eksperci z firmy Kaspersky poinformowali już Google o tych lukach w zabezpieczeniach.
Gdy SoumniBot zostanie już zainstalowany na urządzeniu, to może wyrządzić wiele szkód. Między innymi uruchamia złośliwą usługą, która — po ewentualnym zamknięciu — po 16 minutach jest ponownie uruchamiana. Gdy działa, to co 15 sekund wysyła na zewnętrzny serwer skradzione dane z telefonu. To między innymi lista kontaktów, adresy IP, wiadomości SMS, zdjęcia, filmy, a nawet cyfrowe certyfikaty bankowości internetowej.
Poza tym SoumniBot może też dodawać i usuwań kontakty, wysyłać SMS-y (w tym przekazywać dalej te, które otrzymaliśmy), zmieniać głośność dzwonka, włączać i wyłączać tryb cichy w telefonie, a także włączać lub wyłączać tryb debugowania. Wszystko to może zostać wykorzystane do kradzieży pieniędzy z konta, np. poprzez przesyłanie dalej SMS-ów z kodami uwierzytelniającymi.
Nie wiadomo, jak SoumniBot trafia na urządzenia. Prawdopodobnie znajduje się w aplikacjach pobieranych z nieautoryzowanych sklepów. Wiadomo, że po instalacji ukrywa swoją ikonę, więc często trudno zauważyć jego obecność.
Zobacz: Wraca telegraf. Teraz to system ważny dla cyberbezpieczeństwa
Zobacz: Alarmujące pytanie w SMS-ie. Jak je zobaczysz, od razu usuń
Źródło zdjęć: pcperle / Shutterstock.com
Źródło tekstu: BleepingComputer
