Nul
En ny Trojansk er blevet afsløret af forskere, der foregiver at være en Google-tjeneste på inficerede Android-enheder.
Den malware, døbt “GPlayed,” er en Trojan, som etiketter sig selv “Google Play Markedsplads” og bruger en meget lignende ikon standard Google Play app for at narre ofre til at tro, at den software, der er legitime.
Ifølge forskere fra Cisco Talos, GPlayed er “meget stærk”, og dets primære styrker er fleksibilitet og evnen til at tilpasse sig efter implementeringen.
Den Trojanske indeholder en række interessante indbyggede muligheder. Skrevet i .NETTET ved hjælp af Xamarin mobile miljø, GPlayed vigtigste .DLL kaldes Reznov, som igen indeholder en rod klasse, der hedder “eClient.”
Den malware har fået en modulær infrastruktur, som er i stand til at fjernstyre belastning plugins installeret i real-time, eller når de malware er samlet og pakket.
“Det betyder, at forfatterne eller den erhvervsdrivende kan tilføje funktioner, uden at skulle genoversætte og opgradere den Trojanske pakke på enheden,” Talos siger.
Den Trojanske destruktive kapaciteter, der er lignende andre malware stammer i samme klasse. GPlayed fokuserer på tyveri af økonomiske oplysninger sammen med spionage og er i stand til at høste banking legitimationsoplysninger, overvågning af enhedens placering, stjæle enhed data, skal du logge nøgler og meget mere.
Når en Android-mobil, der er blevet kompromitteret, den Trojan vil forsøge at registrere enheden med malware ‘ s kommando-og-kontrol (C2) – server.
Malware vil også exfiltrate private oplysninger på dette punkt af infektioner, herunder håndsæt ‘ s model, IMEI-nummer, telefon-nummer, der er registreret landet, og den version af Android i brug.
Se også: Gamle bank Trojan TrickBot har lært nye tricks
GPlayed vil også tilmelde dig SMS-handler for at sende besked om eventuelle fremtidige indhold og oplysninger vedrørende afsender til C2.
Den sidste fase af registrering betyder, at den Trojanske anmode om yderligere tilladelser til formål at rettighedsforøgelse.
GPlayed vil ikke kun kræve admin rettigheder, men vil også bede brugeren om at give den tilsyneladende legitimt app til at få adgang til indstillinger for enheden.
Brugeren kan ignorere disse anmodninger, og luk vinduet. Men den Trojanske hest har en indbygget timer, der løbende vil bringe vinduet igen, og igen, indtil brugeren capitulates.
Når det er installeret, den Trojan vil vente til et tidspunkt, før du aktiverer eClient og en underklasse kaldes “GoogleCC.” Dette åbner en Google-tema web-side på enheden uden bruger interaktion, der kræver brugerens betalingsoplysninger for at bruge Google-tjenester.
TechRepublic: Microsoft Office er mere farlig, end du tror: Docs levere 45% af alle malware
Skærmen er låst, indtil oplysninger er indtastet, checket og bekræftet som værende gyldig. En betaling, konfigurerbare af angriberen, er også fremsat af den Trojanske på dette tidspunkt af angrebet.
Hvis offeret indtaster deres oplysninger, og de oplysninger, der er ført væk til C2 via HTTP. De stjålne oplysninger er forvansket via JSON og Base64-kodning.
GPlayed er i stand til at injicere JavaScript for at manipulere med browser sessioner og omdirigere brugere til ondsindede sider og malware er i stand til udarbejdelse af nye .NETTO kodning på gå til udførelse.
CNET: Cryptomining malware opdaget maskeret som Flash-opdateringer
Cisco Talos mener, at den Trojanske hest er i de afsluttende faser af test. En række af strygere og etiketter, der indeholder ordet “test”, og kun prøve til rådighed af GPlayed blev afsløret i et offentligt arkiv.
Den Trojan er også blevet anført, at offentlige antivirus detektion platforme.
“Vores analyse viser, at denne trojanske er i test-fase, men på grund af dets potentiale, hver mobile brugeren skal være opmærksom på GPlayed,” siger forskerne. “Mobil-udviklere er for nylig begyndt undgår traditionelle app stores og i stedet ønsker at levere deres software direkte gennem deres egne midler. Men GPlayed er et eksempel på, hvor det kan gå galt, især hvis en mobil bruger er ikke klar over, hvordan at skelne mellem en falsk app versus en rigtig én.”
Tidligere og relaterede dækning
Bank-malware finder nyt liv spredning data-stjæle trojan Panda Banker Trojan bliver en del af Emotet trussel distributionsplatform Adwind Trojan omgår antivirus-software til at inficere din PC
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0