Objavil sa ďalší malvér ohrozujúci zariadenia s Androidom, tentokrát prostredníctvom chatových aplikácií. Medzi ne radí Latest Hacking News najmä Facebook Messenger a WhatsApp. Nesie meno WolfRAT, podľa organizácie, ktorá už neexistuje, ale malvér na ňu odkazuje.
Malvér WolfRAT sa zameriava na chatové aplikácie
Okrem vyššie spomenutých chatových aplikácií WolfRAT ohrozuje ešte aj menej známu aplikáciu Line. Tento malvér objavili výskumníci z firmy Cisco Talos Intelligence. Podľa informácií týchto výskumníkov je WolfRAT len pokročilejší DenDroid.
“Sledovali sme vývoj WolfRAT prostredníctvom rôznych iterácií, ktoré ukazujú, že tvorca chcel zaistiť funkčné vylepšenia – možno mal termíny, ktoré musí splniť pre svojich zákazníkov, ale bez premýšľania nad odstránením starých častí kódu, tried atď.,” hovoria výskumníci v svojom blogu.
Funguje na princípe odosielania dát zakaždým, keď je otvorená spomínaná chatovacia aplikácia. Malvér odosiela screenshoty chatov na C2 server malvéru. Zariadenie dokáže infikovať falošnými aktualizáciami inak legitímnych aplikácií. Napríklad sa dokáže tváriť ako aktualizácia aplikácie Služby Google, aby oklamal používateľa a ten si ho už sám nainštaluje. Následne vyžaduje od používateľa udelenie povolení.
“Malvér sa spustí, ak sú udelené všetky požadované povolenia a oprávnenia správcu zariadenia. V opačnom prípade sa spustí príkaz ACTION_APPLICATION_SETTINGS, ktorý sa pokúša používateľa oklamať, aby udelil povolenia.”
Inak má malvér len jednoduchú štruktúru, ktorá kontroluje len to, či malvér nie je spustený v emulátore. Pokročilejšiu analýzu nájdete v blogu výskumníkov, ktorý tento vírus objavili.
Zatiaľ len v Thajsku
Momentálne sa malvér zameriava len na používateľov v Thajsku, kde zachytáva údaje o používateľoch. Avšak príznaky neustáleho zlepšovania môžu naznačovať oveľa väčšiu hrozbu v budúcnosti.
