Nul
Een nieuwe Trojan is ontmaskerd door onderzoekers die zich voordoet als een service van Google op een geïnfecteerd Android-apparaten.
De malware, genaamd “GPlayed,” is een Trojan die labels zelf “Google Play Markt” en maakt gebruik van een zeer vergelijkbaar icoon om het standaard Google Play-app om te dupe van slachtoffers in het geloven van de software legitiem is.
Volgens onderzoekers van Cisco Talos, GPlayed is “zeer krachtig” en de belangrijkste sterke punten zijn flexibiliteit en het vermogen zich aan te passen na de implementatie.
De Trojan bevat een aantal interessante ingebouwde mogelijkheden. Geschreven in .NETTO behulp van de Xamarin mobiele omgeving, GPlayed de belangrijkste .DLL wordt aangeroepen Reznov, die op zijn beurt bevat een wortel klasse genaamd “eClient.”
De malware heeft een modulaire infrastructuur die in staat is om op afstand het laden van plugins geïnstalleerd zijn in real-time of wanneer de malware is samengesteld en verpakt.
“Dit betekent dat de auteurs of de operatoren kunnen nieuwe mogelijkheden toevoegen zonder dat het nodig is om te compileren en een upgrade van de Trojan pakket op het apparaat,” Talos zegt.
De Trojan de destructieve mogelijkheden zijn vergelijkbaar met andere malware stammen in dezelfde klasse. GPlayed richt zich op de diefstal van financiële informatie naast spionage en is in staat om te oogsten banking referenties, beeldscherm locatie, het stelen van gegevens, log toetsen, en meer.
Zodra een mobiele Android-apparaat in gevaar is gebracht, de Trojan probeert het toestel registreren met de malware-command-and-control (C2) – server.
De malware zal ook exfiltrate eigen informatie op dit punt van de infectie, met inbegrip van de handset model, IMEI, telefoonnummer, geregistreerde land, en van de Android-versie in gebruik.
Zie ook: Oude banking Trojan TrickBot heeft geleerd nieuwe trucs
GPlayed zal ook het registreren van de SMS-handler om naar vooruit op eventuele toekomstige inhoud van de boodschap en informatie met betrekking tot de afzender aan de C2.
De laatste fase van de registratie vraagt de Trojan het aanvragen van aanvullende machtigingen voor het doel van de rechten escalatie.
GPlayed zal niet alleen de aanvraag admin privileges, maar ook zal de gebruiker vragen om de schijnbaar legitieme app om toegang te krijgen tot de instellingen van het apparaat.
De gebruiker kan negeren van deze aanvragen en het venster te sluiten. Echter, de Trojan heeft een ingebouwde timer die voortdurend breng het venster weer terug, en opnieuw, totdat de gebruiker toe.
Eenmaal geïnstalleerd, wordt de Trojan zal wachten voor een tijd voordat het activeren van eClient en een subklasse genaamd “GoogleCC.” Dit opent een Google-thema-pagina op het apparaat zonder interactie van de gebruiker die de verzoeken van de gebruiker betaling informatie in om gebruik te maken van Google diensten.
TechRepublic: Microsoft Office is gevaarlijker dan je denkt: Docs leveren 45% van alle malware
Het scherm is vergrendeld totdat de gegevens zijn ingevoerd, gecontroleerd en bevestigd als geldig. Een betaling, configureerbaar door de aanvaller, is ook gevraagd door de Trojan op dit punt van de aanval.
Als het slachtoffer komt hun gegevens, de informatie wordt meegevoerd naar de C2 via HTTP. De gestolen informatie wordt obfuscated via JSON en de Base64-codering.
GPlayed in staat is om te injecteren JavaScript te knoeien met de browser sessies en het omleiden van gebruikers naar kwaadaardige pagina ‘ s, en de malware is in staat om het samenstellen van nieuwe .NETTO-codering op de voor uitvoering.
CNET: Cryptomining malware ontdekt, vermomd als Flash-updates
Cisco Talos is van mening dat de Trojan is in de laatste fase van het testen. Een aantal van de snaren en de labels bevatten het woord “test”, en de enige beschikbare steekproef van GPlayed werd ontdekt in een openbaar archief.
De Trojan heeft voorgelegd aan het openbaar antivirus detectie platforms.
“Onze analyse toont aan dat deze trojan is in de testfase, maar aangezien het potentieel is elke mobiele gebruiker moet zich bewust zijn van GPlayed,” zeggen de onderzoekers. “Mobiele ontwikkelaars hebben onlangs begonnen met het mijdend traditionele app stores en in de plaats wilt leveren hun software rechtstreeks via hun eigen middelen. Maar GPlayed is een voorbeeld van waar het fout kan gaan, vooral als een mobiele gebruiker is zich niet bewust van het onderscheid tussen een nep-app versus een echte.”
Vorige en aanverwante dekking
Banking malware vindt nieuw leven met de verspreiding van gegevens-stelende trojan Panda Banker Trojan wordt een deel van Emotet bedreiging distributie platform Adwind Trojan omzeilt antivirus-software op uw PC te infecteren
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0