TECH

AndroRAT: un malware de Android care amenință telefoanele mai vechi

Un troian Android care a început ca un proiect open source a fost actualizat pentru a permite hackerilor să obțină acces la aproape toate datele despre dispozitivele infectate.

Instalarea silențioasă, execuția comenzilor din shell și colectarea datelor personale, a parolelor Wi-Fi și capturile de ecran sunt doar câteva dintre capabilitățile AndroRAT, care exploatează vulnerabilitatea CVE-2015-1805 a kernelului de Linux, dezvăluită public în 2016.

În timp ce noile dispozitive Android pot fi peticite împotriva atacurilor care exploatează vulnerabilitatea, lipsa suportului Google pentru dispozitive mai vechi înseamnă că mulți dintre ei rămân vulnerabili la atacurile concepute pentru a obține controlul telefonului.

Noua variantă a lui AndroRAT este deghizată ca o aplicație numită „TrashCleaner”, iar cercetătorii de la Trend Micro spun că este distribuită printr-un URL malware – ceea ce indică faptul că această amenințare provine de la site-uri de descărcare terță parte sau atacuri de tip phishing.

Bharat Mistry, strateg principal de securitate la Trend Micro, a declarat pentru ZDNet:

Există o șansă bună ca adresa URL să fi fost difuzată printr-o reclamă in-app dintr-o aplicație într-o altă aplicație, cum ar fi un joc popular. Campania de phishing prin e-mail ar putea fi, de asemenea, un vector viabil, deoarece majoritatea oamenilor folosesc e-mailurile dispozitivelor mobile.

Dacă este descărcat și instalat, TrashCleaner va solicita dispozitivului Android să instaleze o aplicație de calculator cu un logo care arată similar cu calculatorul standard Android. În același timp, pictograma TrashCleaner este eliminată din interfața de utilizare a dispozitivului infectat, iar RAT este activat în fundal. Se pare că atacatorii se bazează pe faptul că utilizatorii nu ar crede că o aplicație pe care tocmai au descărcat-o a și instalat o altă aplicație suplimentară, ca mai apoi să dispară.

Odată activat pe un dispozitiv, AndroRAT este controlat de un server la distanță, care poate efectua o mare varietate de acțiuni diferite prin activarea exploatării de tip root încorporată pentru a executa acțiuni privilegiate. Drept urmare, AndroRAT poate face înregistrări audio, poze, monitoriza comunicațiile, viziona locația GPS a dispozitivului, fura nume de Wi-Fi conectate la dispozitiv și multe altele. Noua versiune a malware-ului e capabilă de mai multe lucruri, permițând atacatorilor să vadă toate aplicațiile instalate pe dispozitiv. De asemenea, poate fura istoricul browserului din browserele preinstalate, poate înregistra convorbiri, poate face fotografii cu camera frontală, poate încărca fișiere suplimentare pe dispozitiv, face capturi de ecran, abuzează serviciul de accesibilitate în scopul keylogging-ului și execută comenzi din shell.

Într-un final, AndroRAT – care a fost activ încă din 2012 – compromite întregul dispozitiv, permițând atacatorilor să vadă și să fure practic orice informație despre utilizator, compromițând în mod considerabil confidențialitatea acestora și expunându-i la riscul unor atacuri ulterioare.

Google a lansat un patch pentru CVE-2015-1805 în martie 2016, dar cei care utilizează dispozitive mai vechi rămân vulnerabile.

Utilizatorii Android care rulează KitKat, Jelly Bean, Ice Cream Sandwich sau Gingerbread nu mai primesc actualizări noi, dar reprezintă încă aproape o cincime din cele două miliarde de utilizatori ai Androidului, ceea ce înseamnă că sunt probabil vulnerabili la atacurile AndroRAT.

Cei aflați inițial în spatele AndroRAT nu au intenționat ca softul să fie utilizat într-un mod rău intenționat, fiind inițial un proiect open-source universitar care investighează modul de furnizare a accesului de la distanță la sistemul Android. Din nefericire, infractorii cibernetici au exploatat ulterior aceste instrumente pentru scopuri malițioase.

Utilizatorii se pot asigura că nu cad victimă unor amenințări precum AndroRAT, dacă că nu descarcă aplicații din magazinele de aplicații ale unor terțe părți – și păstrează dispozitivul lor actualizat la zi.

Google spune că aplicația TrashCleaner nu a fost niciodată pe Google Play și că orice dispozitiv actualizat după aprilie 2016 nu este vulnerabil la AndroRAT.

Sursa

Măriuca Mihăilescu

Nu mă consider un „geek” în materie de tehnologie, dar știu că ceea ce contează la un produs este experiența de utilizare. Plec de la presupunerea ca nu știu nimic despre acel produs și văd cum mă împac cu el. Experiența mea îndelungată ca jurnalist și diversitatea de subiecte și domenii abordate au fost tot atâtea atuu-uri într-un segment publicistic dominat de bărbați. M-am familiarizat suficient de repede cu tehnologia așa încât să prezint Zona IT, emisiunea de pe TVR1 și să pornesc și un proiect personal, dedicat segmentului de home appliances.

Articole asemanatoare

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Back to top button