Noll
En ny Trojan har blivit avslöjad av forskare som utger sig för att vara en Google-tjänst på infekterade Android-enheter.
Det skadliga programmet, som kallas “GPlayed,” är en Trojan som etiketter sig “i Google Play Marknaden” och använder en liknande ikon för att den som standard i Google Play app för att lura offer till att tro att programmet är legitimt.
Enligt forskare från Cisco Talos, GPlayed är “extremt stark” och dess huvudsakliga styrka är flexibilitet och förmåga att anpassa sig efter utbyggnaden.
Den Trojanska innehåller flera intressanta inbyggda funktioner. Skrivet .NÄTET med hjälp av Xamarin mobil miljö, GPlayed viktigaste .DLL kallas Reznov, som i sin tur innehåller en rot klass som kallas “eClient.”
Det skadliga programmet har fått en modulär infrastruktur som är på distans kan ladda insticksprogram installerade i realtid eller när malware är sammanställt och förpackas.
“Detta innebär att upphovsmän eller operatörer kan lägga till funktioner utan att behöva kompilera om och uppgradera den Trojanska paket på enheten,” Talos säger.
Trojan: s destruktiva kapacitet liknar andra malware stammar i samma klass. GPlayed fokuserar på att stöld av finansiell information tillsammans med spionage och kan skörda bank referenser, övervaka enhetens läge, stjäla enheten uppgifter, logga in nycklar, och mer.
När en Android-enhet har blivit hackat, den Trojanska kommer att försöka att registrera enheten med malware är kommando-och-kontroll (C2) server.
Malware kommer också exfiltrate privat information i detta skede av infektionen, inklusive telefonens modell, IMEI -, telefon-och person nummer, registrerat land, och vilken version av Android i bruk.
Se även: Gamla bank Trojan TrickBot har fått lära sig nya tricks
GPlayed kommer också att registrera sig för SMS-hanterare för att vidarebefordra eventuella framtida innehåll i meddelanden och information om avsändare och C2.
Den sista etappen av registrering innebär att den Trojanska begära ytterligare behörigheter för att utökning av privilegier.
GPlayed kommer inte bara att begära admin-privilegier, men kommer också att be användaren att låta till synes legitima app för att komma åt inställningar för enheten.
Användaren kan ignorera dessa önskemål och stänga fönstret. Dock den Trojan som har en inbyggd timer som kommer att kontinuerligt föra fönstret igen, och igen, tills användaren kapitulerar.
En gång installerat, den Trojanska kommer att vänta en tid innan du aktiverar eClient och en underklass som kallas “GoogleCC.” Detta öppnar ett Google-tema webbsida på enheten utan interaktion med användaren som begär användarens betalning information för att kunna använda Googles tjänster.
TechRepublic: Microsoft Office är farligare än du tror: Dokument leverera 45% av all skadlig kod
Skärmen är låst tills dess att uppgifter registreras, kontrolleras och bekräftas som giltigt. En betalning, konfigureras av angripare, är också begärd av den Trojan som vid denna tidpunkt av attacken.
Om offret går in i sina uppgifter, informationen är whisked bort till C2 via HTTP. Den stulna informationen är krypterat via JSON och Base64-kodning.
GPlayed kan injicera JavaScript för att mixtra med browser sessioner och omdirigera användare till skadliga sidor, och det skadliga programmet kan sammanställa nya .NETTO kodning på go för utförande.
CNET: Cryptomining malware upptäckt maskerad som Flash uppdateringar
Cisco Talos anser att den Trojanska är i slutfasen av testning. Ett antal strängar och etiketter som innehåller ordet “test” och den enda prov tillgängliga för GPlayed avslöjades i ett offentligt arkiv.
Trojanen har också lämnats in till allmänna antivirus upptäckt plattformar.
“Vår analys visar att denna trojan är i sin test-stadiet, men med tanke på dess potential, alla mobila användaren bör vara medveten om GPlayed,” forskarna säger. “Mobil utvecklare har nyligen börjat undviker traditionella app-butiker och i stället vill leverera sina program direkt via egna medel. Men GPlayed är ett exempel på där det kan gå fel, speciellt om en mobil användare inte är medvetna om hur att skilja en falsk app kontra en riktig man.”
Tidigare och relaterade täckning
Bank-malware hittar nya liv sprida data-trojanen Panda banktrojan blir en del av Emotet hot plattformen för distribution Adwind Trojan kringgår antivirusprogram för att infektera din PC
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0