Bezpečnosť našich mobilných zariadení je neustále skúšaná rôznymi útokmi hackerov, ktorí sa snažia využiť rôzne zdroje, z ktorých si sťahujeme aplikácie a ďalšie dáta do našich smartfónov a tabletov. Google iba nedávno začal manuálne kontrolovať všetky aplikácie, ktoré sú nahrávané do obchodu Play. Hoci tento obchod je medzi užívateľmi najpopulárnejší, existujú aj rôzne ďalšie miesta, odkiaľ je možné získať aplikácie. Alternatívne obchody s aplikáciami sú populárne najmä v ázijských krajinách, kde sa objavil aj nový druh malware.
Ten využíva Baidu Cloud Push services, čo je obdoba Google Cloud Messaging. Ide o nástroje, pomocou ktorých je možné odosielať a prijímať dáta zo serverov k užívateľom a opačne. Zaujímavé na tomto malware je práve to, že využíva Baidu Cloud Push, pričom všetko naznačuje, že ide o prvý vírus, ktorý využíva túto službu. Google Cloud Messaging bol pre podobné praktiky využitý už v roku 2013, pričom tieto aktivity boli odhalené štúdiom Kaspersky Lab.
Nový Malware je pritom pre užívateľov veľmi nebezpečný. Dokáže nahrávať zvuk pomocou mikrofónu, posielať SMS správy, uskutočňovať hlasové telefonáty, sťahovať súbory, odosielať súbory, odosielať cesty k súborom a mnohé ďalšie aktivity, o ktorých sa užívateľ nemusí nikdy dozvedieť. Problémom totiž je, že pred pol rokom, keď bol vírus vytvorený a nahraný do prvých aplikácií, žiadna z populárnych antivírových služieb nedokázala tento malware rozoznať. Po takmer šiestich mesiacoch sa úroveň detekcie takmer vôbec nezlepšila.
Veľmi zaujímavé je aj to, že tento trojan je stále dostupný v rôznych aplikáciách v zahraničných obchodoch. Prvá aplikácia s týmto malwareom bola nahraná v septembri minulého roku na mnohé alternatívne obchody s aplikáciami. Užívateľ nahral vírus na niekoľko svojich aplikácií, pričom účet má dokonca aj v obchode Play, čo naznačuje, že chcel rozšíriť svoje aktivity aj sem.
Celkovo dokáže trojan odpovedať na 11 príkazov, ktoré k nemu prichádzajú zo serveru.
- photo – uploaduje fotografie z vašej galérie
- contact – uploaduje kontakty zo zariadenia
- call_log – uploaduje históriu telefonátov
- upload_message – uploaduje SMS správy
- location – uploaduje informáciu o polohe užívateľa
- send_message – posiela SMS správy
- phone – uploaduje informácie o telefóne vrátane telefónneho čísla
- list_file – uploaduje cestu k súborom na externý server
- upload_file – uploaduje samotné súbory
- delete_file – vymaže súbory podľa cesty k nim
- download – sťahuje súbory
- call_number – uskutoční telefonát
- record – nahrá zvuk cez mikrofón počas predurčeného časového intervalu a nahrá ho na server
- combine – kombinácia štyroch príkazov (phone, contact, call_log, upload_message
O tomto novom malware nás informoval slovenský odborník Lukáš Štefanko, za čo mu touto cestou ďakujeme. Škodlivé aplikácie odhalil v niekoľkých zahraničných obchodoch tretích strán, pričom mnohé z nich ešte stále ponúkajú tieto tituly. Pre slovenských užívateľov to teda nie je až taká veľká hrozba, keďže z týchto miest si väčšinou aplikácie nesťahujeme. Ak by ste ale náhodou do týchto obchodov zablúdili, existuje niekoľko náznakov, ktoré signalizujú podozrivú aplikáciu. Môže tým byť napríklad výzva aktualizovať aplikáciu hneď po tom, ako si ju stiahnete, no bez ohľadu na to, či zvolíte možnosť “Áno” alebo “Nie”, nič sa nestane. Tiež sa môže načítať webové rozhranie, ktoré symbolizuje spojenie s názvom aplikácie. Väčšina týchto informácií sa ale v napadnutých aplikáciách zobrazujú v čínskych a iných podobných znakoch, čo je aj dôvod, prečo Slovákov zrejme tieto aktualizácie zaujímať nebudú.
Zdroj: b0n1 (Lukáš Štefanko)
