En kraftfuld form af Android malware med spion-kapaciteter, er genopstået med ny taktik — denne gang forklædt som en populær online privacy program til at narre brugere til at downloade det.
Første afsløret i August sidste år, Triout malware indsamler enorme mængder af information om ofrene ved at optage telefonopkald, overvågning af sms-kommunikation, stjæler billeder, tager billeder, og selv indsamle GPS-oplysninger fra enheden, så brugerens placering at blive sporet.
Kampagnen har været aktiv siden Maj sidste år, med brugere, der tidligere er narret til at downloade malware med en falsk version af en voksen app — men nu er dem, der står bag Triout har ændret deres taktik, distribuere malware med en re-agtede version af en legitim personlige værktøj, som er blevet kopieret fra Google Play store.
Denne nye måde at distribuere Triout har været beskrevet af forskere ved sikkerhedsfirmaet Bitdefender, som også var ansvarlig for den første afdækning af malware sidste år.
SE: Hvad er malware? Alt, hvad du behøver at vide om virus, trojanske heste og ondsindede software
Nu Triout bliver gemt i en falsk version af Psiphon, en fred værktøj, der er designet til at hjælpe brugere med at omgå censur på internettet. Psiphon er særligt fokuseret mod at hjælpe brugere, der lever under undertrykkende regimer og dets tjenester er blevet downloadet millioner af gange — den version, der findes i den officielle Google Play-butik kan prale af over 10 millioner installationer.
Værktøjet kan også downloades fra tredjeparts websteder, især på steder, der ikke har adgang til Google Play, og det er dette, kombineret med funktion og populariteten af Psiphon, som er tilbøjelige til at have gjort det til et attraktivt lokke til hacking drift bag Triout.
Dem, der står bag Triout har været omhyggelig med at sørge for den falske version af Psiphone ser ud og fungerer på samme måde som den virkelige ting, så de kan gennemføre kampagnen, uden at hæve mistanke om ofre.
Den ondsindede version af app ‘ en (til venstre) sammenlignet med den reelle version (til højre).
Billede: Bitdefender
Den opdaterede Triout følger i fodsporene af den oprindelige kampagne, som udkommer til meget selektiv, når rettet mod ofrene. Forskere afdækket den malware, der kører på syv enheder, med fem af dem i Sydkorea og Tyskland. Tidligere kampagner syntes at fokusere på Israel.
Det er stadig usikkert, hvordan angriberne sikre, at deres udvalgte ofre er narret til at downloade malware, men det potentielt indebærer spear-phishing.
“Uanset om de anvendes social engineering teknikker til at narre ofre til at installere app’ en fra tredjeparts-markedspladser eller udarbejdet en online kampagne, der er målrettet mod et begrænset antal brugere, der er usikre på dette punkt, hvor ofrene er blevet valgt, målrettet, og inficeret,” Liviu Arsene, senior e-trussel, analytiker hos Bitdefender fortalte ZDNet.
SE: EN vindende strategi for cybersikkerhed (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
Det er ikke kun udsigten, der har ændret sig — forskere bemærk, at kommando og kontrol-server hackerne bruger til at udtrække data fra kompromitterede enheder har ændret sig til en IP-adresse i Frankrig. I tillæg til dette, har tidligere analyseret prøver af Triout havde været fremlagt fra Rusland, mens seneste version er blevet uploadet fra OS.
Dette kneb omkring oprindelsen af malware betyder, at det stadig ikke er muligt at identificere oprindelsen af den kampagne eller gruppen bag det, men det er sikkert, er, at Triout er stadig en ekstremt kraftfuld hacking værktøj, der giver angribere med store mængder af information.
“Det er et potent stykke af malware, der er blevet bevidst udviklet til spionage,” sagde Arsene.
Forskere mener, at kampagnen er stadig aktiv og anbefalet brugere gøre alt, hvad de kan for at styre klar af malware-trusler ved at holde deres Android styresystem op til dato, og at kun installere apps fra officielle kilder, hvor det er muligt.
LÆS MERE OM IT-KRIMINALITET
Disse hackere bruger Android overvågning af malware til at målrette modstandere af den Syriske regering
Android malware får luskede TechRepublic
Denne data-stjæle Android malware infiltreret Google Play Butik, kan inficere brugere i 196 lande
Din smartphones bliver mere værdifulde for hackere CNET
Enkel, men yderst effektiv: Inde i verdens mest produktive mobile banking malware
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre