Een krachtige vorm van Android-malware met spy mogelijkheden het opnieuw ontstaan met nieuwe tactieken, deze keer vermomd als een populaire online privacy applicatie om gebruikers te misleiden tot het downloaden van het.
Eerste ontdekt in augustus vorig jaar, Triout malware verzamelt grote hoeveelheid informatie over slachtoffers door het opnemen van telefoongesprekken, monitoring tekst communicatie, het stelen van foto ‘s, foto’ s, en zelfs het verzamelen van GPS-informatie van het apparaat, zodat de locatie van de gebruiker te worden bijgehouden.
De campagne is actief sinds Mei vorig jaar, met gebruikers die eerder verleid tot het downloaden van malware met een nep-versie van een volwassene app — maar nu zijn die achter Triout hebben veranderd hun tactiek, het verspreiden van de malware met een aangepast versie van een legitieme privacy tool die is geript van de Google Play store.
Deze nieuwe manier van distribueren Triout werd beschreven door onderzoekers van beveiligingsbedrijf Bitdefender, die waren ook verantwoordelijk voor de eerste blootleggen van de malware vorig jaar.
ZIE: Wat is malware? Alles wat u moet weten over virussen, trojaanse paarden en kwaadaardige software
Nu Triout wordt verborgen in een nep versie van Psiphon, een privacy-tool die is ontworpen om gebruikers te helpen omzeilen van censuur op het internet. Psiphon is met name gericht zijn op het helpen van gebruikers om te leven onder repressieve regimes en de diensten van het downloaden miljoenen keren — de versie die beschikbaar is in de officiële Google Play store heeft meer dan 10 miljoen installaties.
De tool kan ook worden gedownload van websites van derden, vooral in plaatsen die geen toegang hebben tot Google Play, en het is dit, gecombineerd met de functie en populariteit van Psiphon, die waarschijnlijk was het een aantrekkelijke lokken voor het hacken van de operatie achter Triout.
De mensen achter Triout zijn voorzichtig en zorg ervoor dat de nep-versie van Psiphone eruit ziet en werkt op dezelfde manier als het echte ding, dus ze kunnen het gedrag van de campagne, zonder het verhogen van de verdenking van slachtoffers.
De kwaadaardige versie van de app (links) in vergelijking met de echte versie (rechts).
Afbeelding: Bitdefender
De bijgewerkte Triout volgt in de voetsporen van de eerste campagne, die om zeer selectief te zijn bij het doel van de slachtoffers. Onderzoekers ontdekt de malware uitgevoerd op zeven apparaten, met vijf van die in Zuid-Korea en Duitsland. Vorige campagnes leek te richten op Israël.
Het is nog onzeker hoe de aanvallers voor te zorgen dat hun geselecteerde slachtoffers worden verleid tot het downloaden van malware, maar het potentieel omvat spear-phishing.
“Of ze gebruikt social engineering-technieken om de truc van de slachtoffers in het installeren van de app van derden marktplaatsen of bereid zijn een online campagne die direct gericht zijn op een beperkt aantal gebruikers, het is onzeker op dit punt hoe de slachtoffers zijn geselecteerd, doelgerichte en besmet,” Liviu Arsene, senior e-bedreiging analist bij Bitdefender vertelde ZDNet.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Het is niet alleen de verleiding is veranderd — onderzoekers er rekening mee dat de command and control-server van de aanvallers gebruiken om gegevens te extraheren uit besmette apparaten is veranderd naar een IP-adres in Frankrijk. In aanvulling op deze, eerder geanalyseerde monsters van Triout had ingediend van Rusland, terwijl de laatste versie is geüpload vanaf het ONS.
Deze uitvlucht rond de oorsprong van de malware betekent het nog niet mogelijk om de oorsprong te achterhalen van de campagne of de groep achter de rug, maar wat zeker is, is dat Triout blijft een zeer krachtige hack tool die aanvallers met grote hoeveelheden informatie.
“Het is een krachtig stuk van malware die is doelbewust ontwikkeld voor spionage,” zei Arsene.
Onderzoekers zijn van mening dat de campagne is nog steeds actief en heeft aanbevolen dat gebruikers alles wat ze kunnen doen om te sturen duidelijk van de malware-bedreigingen door het houden van hun Android besturingssysteem up-to-date en installeer alleen apps uit officiële bronnen waar mogelijk.
LEES MEER OVER CYBER CRIME
Deze hackers zijn het gebruik van Android toezicht malware te richten tegenstanders van de Syrische regering
Android-malware krijgt sneaky TechRepublic
Deze gegevens stelen Android-malware infiltreerde in de Google Play Store, het infecteren van gebruikers in 196 landen
Smartphones worden steeds waardevoller voor hackers CNET
Eenvoudig maar zeer effectief: In de wereld ‘ s meest productieve mobile banking malware
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters