Ερευνητές ασφαλείας ανακάλυψαν μια νέα έκδοση του Android malware XLoader, που εκτελείται αυτόματα στις συσκευές που μολύνει, χωρίς να απαιτείται οποιαδήποτε αλληλεπίδραση με τον χρήστη.
Το XLoader είναι γνωστό και ως MoqHao και στοχεύει Android συσκευές. Πιστεύεται ότι έχει δημιουργηθεί από μια hacking ομάδα με το όνομα “Roaming Mantis“, η οποία έχει συνδεθεί με επιθέσεις που στοχεύουν χρήστες στις ΗΠΑ, το Ηνωμένο Βασίλειο, τη Γερμανία, τη Γαλλία, την Ιαπωνία, τη Νότια Κορέα και την Ταϊβάν. Τα κίνητρά της είναι οικονομικά.
Το XLoader malware διανέμεται κυρίως μέσω μηνυμάτων κειμένου SMS που περιέχουν μια (συντομευμένη) διεύθυνση URL. Αυτή οδηγεί σε έναν ιστότοπο που παρέχει ένα αρχείο εγκατάστασης Android APK για μια εφαρμογή για κινητά.
Δείτε επίσης: Η Εξέλιξη του Malware-as-a-Service: Νέες Προκλήσεις για την Ασφάλεια των Οργανισμών
Σύμφωνα με τους ερευνητές της McAfee, η νέα έκδοση του Android malware XLoader έχει τη δυνατότητα να εκτελείται αυτόματα μετά την εγκατάσταση. Αυτό επιτρέπει στο κακόβουλο λογισμικό να εκτελείται στο παρασκήνιο, χωρίς να γίνεται αντιληπτό από τον χρήστη.
“Έχουμε ήδη αναφέρει αυτήν την τεχνική στην Google και εργάζονται για την εφαρμογή τρόπων μετριασμού, για την αποτροπή αυτού του τύπου αυτόματης εκτέλεσης“, λέει ερευνητής της McAfee.
Για να καλύψει την κακόβουλη φύση της εφαρμογής, η Roaming Mantis χρησιμοποιεί Unicode strings για να συγκαλύψει τα κακόβουλα APK ως νόμιμο λογισμικό (π.χ. Chrome browser). Αυτή η διαδικασία είναι ζωτικής σημασίας για το επόμενο βήμα, το οποίο είναι να εξαπατήσει τον χρήστη ώστε να εγκρίνει επικίνδυνες άδειες στη συσκευή, όπως η αποστολή και πρόσβαση σε περιεχόμενο SMS και η δυνατότητα να “τρέχει πάντα στο παρασκήνιο“.
Η ψεύτικη εφαρμογή Chrome ζητά επίσης από τον χρήστη να οριστεί ως προεπιλεγμένη εφαρμογή SMS, υποστηρίζοντας ότι κάτι τέτοιο θα βοηθήσει στην αποφυγή ανεπιθύμητων μηνυμάτων.
Τα αναδυόμενα μηνύματα που χρησιμοποιούνται σε αυτό το βήμα είναι διαθέσιμα στα Αγγλικά, Κορεατικά, Γαλλικά, Ιαπωνικά, Γερμανικά και Χίντι. Οι γλώσσες κατά κάποιο τρόπο υποδεικνύουν τους τρέχοντες στόχους της νέας έκδοσης του Android malware XLoader.
XLoader
Η νέα έκδοση δημιουργεί κανάλια ειδοποιήσεων για την εκτέλεση προσαρμοσμένων επιθέσεων phishing στη συσκευή.
Εξάγει μηνύματα phishing και διευθύνσεις URL από προφίλ του Pinterest, που είναι πιθανό να αποφύγουν τον εντοπισμό από εργλαλεία ασφαλείας για ύποπτες πηγές επισκεψιμότητας.
Επίσης, η χρήση του Pinterest επιτρέπει στους εισβολείς να αλλάζουν phishing destinations και μηνύματα, χωρίς να διακινδυνεύουν να στείλουν μια ενημέρωση στο κακόβουλο λογισμικό στη συσκευή.
Δείτε επίσης: Ov3r_Stealer malware: Διανέμεται μέσω ψεύτικων αγγελιών εργασίας στο Facebook
Εάν αυτό αποτύχει, το XLoader χρησιμοποιεί phishing μηνύματα που ειδοποιούν τον χρήστη για ένα πρόβλημα με τον τραπεζικό του λογαριασμό και του ζητά να αναλάβει δράση.
Επιπλέον, σύμφωνα με τους ερευνητές, το κακόβουλο λογισμικό μπορεί να εκτελέσει 20 εντολές, που λαμβάνονται από τον command and control (C2) server μέσω του πρωτοκόλλου WebSocket.
Οι πιο σημαντικές εντολές είναι:
- get_photo: Μεταφέρει όλες τις φωτογραφίες στον διακομιστή ελέγχου.
- getSmsKW: Στέλνει όλα τα μηνύματα SMS στον διακομιστή ελέγχου.
- sendSms: Επιτρέπει στο κακόβουλο λογισμικό να στέλνει μηνύματα SMS, διαδίδοντας το κακόβουλο λογισμικό.
- gcont: Εξάγει ολόκληρη τη λίστα επαφών στον διακομιστή ελέγχου.
- getPhoneState: Συλλέγει αναγνωριστικά συσκευής (IMEI, αριθμός SIM, αναγνωριστικό Android, σειριακός αριθμός), επιτρέποντας την παρακολούθηση.
- http: Διευκολύνει την αποστολή αιτημάτων HTTP για λήψη κακόβουλου λογισμικού, εξαγωγή δεδομένων ή επικοινωνία C2.
Δείτε επίσης: VajraSpy malware: Διανέμεται μέσω κακόβουλων Android apps
Το XLoader εμφανίστηκε πρώτη φορά το 2015, αλλά η McAfee προειδοποιεί ότι έχει εξελιχθεί σημαντικά και ότι οι νεότερες παραλλαγές του μπορεί να είναι ιδιαίτερα αποτελεσματικές καθώς απαιτούν ελάχιστη αλληλεπίδραση με τον χρήστη.
Λαμβάνοντας υπόψη ότι το κακόβουλο λογισμικό κρύβεται κάτω από το πρόσχημα του Chrome, η McAfee προτείνει τη χρήση ενός προϊόντος ασφαλείας που μπορεί να σαρώσει τη συσκευή και να αφαιρέσει αυτές τις απειλές.
Ποια μέτρα ασφαλείας μπορεί να λάβει κάποιος για να προστατευτεί;
Καταρχάς, είναι σημαντικό να κατεβάζετε εφαρμογές μόνο από αξιόπιστες πηγές, όπως το Google Play Store και το App Store. Αποφύγετε την εγκατάσταση εφαρμογών από άγνωστες πηγές, όπως καταστήματα τρίτων, μη αξιόπιστα sites και links που λαμβάνετε μέσω emails και SMS.
Επιπλέον, είναι σημαντικό να διατηρείτε τη συσκευή σας ενημερωμένη. Οι ενημερώσεις λογισμικού συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τη συσκευή σας από τον XLoader και άλλα επιβλαβή λογισμικά.
Είναι επίσης σημαντικό να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα ασφαλείας ή antivirus. Αυτά τα προγράμματα μπορούν να σας προστατεύσουν από την εγκατάσταση επιβλαβούς λογισμικού στη συσκευή σας.
Τέλος, πρέπει να είστε προσεκτικοί με τα μηνύματα SMS που λαμβάνετε. Αποφύγετε το κλικ σε συνδέσμους που φαίνονται ύποπτοι ή που προέρχονται από άγνωστους αριθμούς.
Πηγή: www.bleepingcomputer.com
