0
De Lippizaner malware is vernoemd naar een beroemde ras van paarden.
Beeld: Getty Images/iStockphoto
Een nieuwe vorm van spyware, ontworpen tot een compromis gerichte Android-apparaten en monitoren van gegevens van de telefoon van de communicatie naar de locatie, heeft aan het licht gebracht — en geblokkeerd-door cybersecurity onderzoekers bij Google.
De naam Lipizzaner — na een ras van paard — de malware monitort en steelt informatie over het doel van de e-mails, sms ‘ jes en andere berichten, exfiltrates informatie over de contacten, luistert en records oproepen, kan screenshots te nemen en opnemen van audio en video, en bewaakt de locatie van de gebruiker.
Google zei dat de app heeft ook routines voor het ophalen van gegevens uit apps, waaronder:
Gmail Hangouts Facebook LinkedIn Messenger Skype Snapchat StockEmail Telegram Threema Whatsapp En Viber
Minder dan 100 apparaten zijn besmet blijken te zijn met Lipizzaner, maar de aard van de malware — net als Chrysaor Android spyware voordat — geeft aan dat het wordt gebruikt op een specifieke set van individuen. Chrysaor is een Android-versie van de Pegasus mobiele spyware gebruikt door een natie-staat te controleren iPhones die behoren tot de activisten in het Midden-Oosten.
Hoewel Google — die heeft gepubliceerd details over de Lipizzaner in een blog en gaf een presentatie over het op Black Hat in Legas Vegas — nog niet gedetailleerd die is getarget door Lipizzaner of die misschien achter de rug, bedreiging onderzoekers zeiden dat ze hebben gevonden referenties in de code Equus Technologieën, die wordt beschreven als een “cyber armen bedrijf”.
Beschreven als een “geavanceerde twee-traps-spyware tool”, Lippizaner is verspreid via een aantal kanalen, waaronder de officiële Google Play Store, waar het kan worden vermomd als een basic app, zoals een back-up of het reinigen van gereedschap, het verbergen van de kwaadaardige natuur van de software. In totaal zijn ongeveer 20 verschillende apps werden ontworpen om de malware.
Schadelijke apps kunnen omzeilen Google Play bescherming, omdat het compromis niet tot de app wordt gedownload op het apparaat.
Echter, na installatie, Lippizaner downloads en laadt een tweede “licentie verificatie” controleert het apparaat. Het is dan verankerd en verbonden met een command-and-control-server die wordt gebruikt om exfiltrate gegevens over de communicatie en gesprekken op de telefoon.
Google blokkeerde de eerste set van de Lipizzaner apps, maar nieuwe versies werden geupload binnen een week van de takedown. Deze keer, de apps zijn ontworpen om te kijken als blocnotes, geluidsrecorders en alarm managers. De onderzoekers suggereren dat dit laat zien de auteurs een methode voor het eenvoudig wijzigen van de branding van het implantaat apps.
Deze nieuwe golf van de apps veranderde ook de levering van de malware van het downloaden van een niet-versleutelde versie van fase twee te versleutelen diep in de app. Fase twee wordt alleen uitgevoerd als een specifieke opdracht voor het uitvoeren van een Advanced Encryption Standard sleutel tot het openen van het pakket.
Echter, ondanks de veranderingen, Google was weer in staat is om de vangst van de apps en verwijder ze uit de winkel “binnenkort” nadat ze zijn geüpload. Google zegt dat de Google Play Protect functie actief blokkeert nieuwe installaties van Lipizzaner op apparaten.
Google houdt de overgrote meerderheid van de 1,4 miljard Android-gebruikers beschermt tegen malware, maar kwaadaardige apps nog steeds door.
Maar terwijl deze spyware alleen van toepassing op een klein deel van alle Android-apparaten kunnen worden aangesloten-0.000007 procent-en het is nog onduidelijk wie het was gericht door Equus en hoe ze werden overtuigd om de apps te downloaden, Google heeft afgegeven advies over de bescherming tegen Lipizzaner en andere malware.
Gebruikers worden verteld om een opt-in voor Google Play Beschermen en voor het downloaden van apps uit de Google Play Store omdat “de kans dat je de installatie van een PHA [potentieel schadelijke app] is veel lager op Google Play dan het gebruik van andere mechanismen installeren”. Android-gebruikers zijn ook aangespoord om hun telefoon bijgewerkt met de nieuwste versie van het besturingssysteem.
LEES MEER OVER CYBERCRIMINALITEIT
Kan Google win de strijd met Android malware? Cyberoorlog: Het smart person ‘ s guide [TechRepublic] Cybercrime Inc: Hoe hacking bendes zijn het modelleren van zelf op big business russische Android-malware bijgehouden oekraïense militairen: Rapport [CNET] Trident iOS gebreken: de Onderzoekers detail hoe de spyware bleef verborgen
0