Zero
Un nuovo Trojan, è stato smascherato dai ricercatori, che finge di essere un servizio di Google infetti dispositivi Android.
Il malware, soprannominato “GPlayed,” è un Trojan che le etichette stesso “Mercato Google Play” e utilizza una molto simile icona standard di Google Play app per ingannare le vittime a credere che il software è legittima.
Secondo i ricercatori di Cisco Talos, GPlayed “molto potente” e dei suoi principali punti di forza sono la flessibilità e la capacità di adattarsi dopo la distribuzione.
Il Trojan contiene una serie di interessanti funzionalità built-in. Scritto in .NET utilizzando il Xamarin ambiente mobile, GPlayed principale .DLL viene chiamato Reznov, che, a sua volta, contiene una radice classe denominata “eClient.”
Il malware è stato dato un infrastruttura modulare che è in grado di caricare in remoto i plug-in installati in tempo reale o quando il malware viene compilato e pacchettizzato.
“Questo significa che gli autori o gli operatori possono aggiungere funzionalità senza la necessità di ricompilare e aggiornare il Trojan pacchetto sul dispositivo,” Lui dice.
Il Trojan distruttivo funzionalità sono simili ad altri malware ceppi di una stessa classe. GPlayed si concentra sul furto di informazioni finanziarie a fianco di spionaggio ed è in grado di raccogliere le credenziali bancarie, monitorare la posizione del dispositivo, rubare dati del dispositivo, chiavi di registro, e di più.
Una volta che un dispositivo mobile Android è stato compromesso, il Trojan tenta di registrare il dispositivo con il malware di comando e controllo (C2) server.
Il malware può anche sottrarre informazioni private, a questo punto dell’infezione, tra cui il ricevitore del modello, IMEI, numero di telefono, registrati paese, e la versione di Android in uso.
Vedi anche: Vecchia Trojan bancario TrickBot è stato insegnato nuovi trucchi
GPlayed registra anche l’SMS del gestore al fine di inoltrare qualsiasi futuro il contenuto del messaggio e le informazioni relative al mittente per la C2.
La fase finale di registrazione comporta il Trojan richiesta di ulteriori autorizzazioni per lo scopo di privilege escalation.
GPlayed non solo la richiesta di privilegi di amministratore, ma anche di chiedere all’utente di consentire l’apparentemente legittimo app di accedere alle impostazioni del dispositivo.
L’utente può ignorare queste richieste e chiudere la finestra. Tuttavia, il Trojan ha un timer integrato che continuamente verrà visualizzata la finestra di nuovo, e di nuovo, fino a quando l’utente capitola.
Una volta installato, il Trojan attendere per un periodo di tempo prima dell’attivazione eClient e una sottoclasse chiamato “GoogleCC.” Questo apre un Google a tema pagina web sul dispositivo senza l’interazione dell’utente che le richieste dell’utente e le informazioni di pagamento al fine di utilizzare i servizi di Google.
TechRepublic: Microsoft Office è più pericoloso di quanto si pensi: Docs consegnare il 45% di tutto il malware
Lo schermo è bloccato fino a quando i dettagli sono inseriti, verificata e confermata come valido. Un pagamento, configurabile dall’utente malintenzionato, è richiesto anche dalla Trojan a questo punto l’attacco.
Se la vittima entra in tutti i loro dettagli, l’informazione è portato via per la C2 via HTTP. Il furto di informazioni è offuscato tramite JSON e la codifica Base64.
GPlayed è in grado di iniettare codice JavaScript per manomettere le sessioni del browser e reindirizzare gli utenti a pagine dannose, e il malware è in grado di compilare di nuovo .NETTO di codifica per l’esecuzione.
CNET: Cryptomining malware scoperto che si presenta come aggiornamenti di Flash
Cisco Talos ritiene che il Trojan è in fase finale di test. Un certo numero di stringhe e le etichette contengono la parola “test”, e l’unico esemplare disponibile di GPlayed è stato scoperto in un archivio pubblico.
Il Trojan è stato anche presentato al pubblico antivirus piattaforme di rilevamento.
“La nostra analisi indica che questo trojan è nella sua fase di sperimentazione, ma date le sue potenzialità, ogni utente mobile dovrebbe essere a conoscenza di GPlayed,” dicono i ricercatori. “Gli sviluppatori di telefonia Mobile hanno recentemente iniziato rifiutasse la tradizionale app store e invece vogliono esprimere il loro software direttamente attraverso i propri mezzi. Ma GPlayed è un esempio di ciò può andare male, specialmente se un utente mobile non è a conoscenza di come distinguere un falso app rispetto a quello reale.”
Precedente e relativa copertura
Banking malware trova nuova vita la diffusione di data-stealing trojan Panda Banchiere Trojan diventa parte di Emotet minaccia piattaforma di distribuzione Adwind Trojan aggira software antivirus per infettare il vostro PC
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0