Το Malware έχει αποδειχθεί μια διαρκώς παρούσα πρόκληση στο Android. Οι χάκερ συχνά επιτίθενται σε γνωστά αδύναμα σημεία του λειτουργικού συστήματος για να εκμεταλλευτούν τους χρήστες, και συχνά η πρόσβαση στο λογισμικό χρησιμοποιείται γι’ αυτό. Πρόσφατα, οι ερευνητές κυβερνοασφάλειας της Group-IB απέδωσαν μια σειρά από hacks με οικονομική κίνητρο σε χώρες της Νοτιοανατολικής Ασίας και της Κεντρικής Αμερικής στο Gigabud Random Access Trojan (RAT), σε συσκευές Android.
Δείτε επίσης: Οι χάκερ εκμεταλλεύονται ένα zero-day bug WinRAR για να στοχεύσουν crypto-επενδυτές
Σύμφωνα με την πρόσφατη έκθεση της Group-IB, αυτό το κακόβουλο λογισμικό εμφανίστηκε πρώτη φορά στην Ταϊλάνδη. Τον Ιούλιο του 2022, οι χρήστες Android στην Ταϊλάνδη λάμβαναν ηλεκτρονικά μηνύματα και μηνύματα SMS που συνδέονταν με μια πλαστή έκδοση της ιστοσελίδας της Thai Lion Air. Οι χρήστες ἐπείθοντο να κατεβάσουν κακόβουλο λογισμικό, να του παραχωρήσουν πρόσβαση στις συσκευές τους και να του παραχωρήσουν διάφορες άδειες για να λάβουν δάνειο. Οι παραλλαγές του Gigabud RAT ενθαρρύνουν τους χρήστες να κατεβάσουν το κακόβουλο λογισμικό με διάφορους τρόπους σε διάφορα περιβάλλοντα, αλλά η υπόθεση της Thai Lion Air αποτελεί παράδειγμα του βασικού τύπου.
Οι πληροφορίες που υπέβαλλαν οι χρήστες στο πλαστό ιστότοπο φυσικά δεν έφτασαν στη Thai Lion Air. Αντ’ αυτού, αυτές πήγαν σε ένα διακομιστή που διαχειρίζονταν οι άνθρωποι που διέδωσαν το κακόβουλο λογισμικό Gigabud RAT. Ρωσικοί χάκερς χρησιμοποίησαν παρόμοιο σύστημα κλοπής δεδομένων πέρυσι. Μόλις εγκατασταθεί, τέτοιο κακόβουλο λογισμικό μπορεί να κάνει περισσότερα από το να μεταδίδει δεδομένα. Χάρη στη σύνδεση με τις υπηρεσίες προσβασιμότητας του Android, το λογισμικό μπορεί να αλληλεπιδρά στις υπόλοιπες εφαρμογές, να συλλέγει δεδομένα από αυτές και ακόμα να παρεμβαίνει σε αυτό που έχετε αποθηκευμένο στο πρόχειρο.
Σημαντικό είναι ότι αυτό το κακόβουλο λογισμικό δεν προκαλεί κανένα κακό μέχρις ότου δοθούν οι άδειες χρήσης και πρόσβασης, καθιστώντας το δύσκολο να ανιχνευθεί. Μόλις εγκατασταθεί, το κακόβουλο λογισμικό Gigabud RAT μπορεί να αλληλεπιδράσει με το λογισμικό του τηλεφώνου σας σχεδόν όπως αν το κάνατε εσείς, ανοίγοντας την πόρτα για εκμετάλλευση με ταυτοποίηση ή ακόμα και μεταφορά κεφαλαίων.
Λαμβάνοντας υπόψη όλες αυτές τις πολύπλοκες λειτουργίες, οι κακόβουλοι χρήστες που χρησιμοποιούν το Gigabud RAT για να προκαλέσουν απάτες, τείνουν να προτιμούν παθητικές τεχνικές συλλογής πληροφοριών για τη συλλογή ευαίσθητων δεδομένων, όπως καταγραφή πλήκτρων και καταγραφή οθόνης. Αυτό επίσης μειώνει την ανιχνευσιμότητα.
Η εταιρεία Group-IB αναφέρει ότι εντόπισε πάνω από 400 περιπτώσεις του RAT Gigabud σε φυσικό περιβάλλον, ενεργές σε πάνω από 100 χώρες. Αυτά τα ευρήματα υποδηλώνουν ένα ανησυχητικό ρυθμό ανάπτυξης και γεωγραφική εξάπλωση από τότε που οι ερευνητές πρωτοαναγνώρισαν τη διακριτή οικογένεια κακόβουλου λογισμικού Gigabud πέρυσι.
Το Android 14 θα αναβαθμίσει την προστασία του Accessibility API, κάτι που θα καθιστά πιο δύσκολη την εκτέλεση ασφαλτικών παραβιάσεων από κακόβουλο λογισμικό όπως το Gigabud RAT, Nexus και Cereberus. Πρόσφατα, το Google Play απέσυρε την εφαρμογή iRecorder Screen Recorder από το Play Store λόγω σχετικών ανησυχιών για ευπάθειες. Ελπίζουμε ότι καλύτερες τεχνικές σάρωσης θα βοηθήσουν να κρατηθούν εφαρμογές τέτοιου είδους μακριά από τους χρήστες από την αρχή.
Πηγή πληροφοριών: androidpolice.com
