En kraftfull form av Android-malware med spy möjligheter har dykt upp igen med en ny taktik den här gången är maskerad som en populär online privacy program för att lura användare till att ladda ner det.
Först upptäcktes i augusti förra året, Triout skadlig programvara som samlar in stora mängder information om offer genom inspelning av telefonsamtal, övervakning av text kommunikation, stjäla bilder, ta bilder, och även att samla in GPS-information från enheten, vilket gör att användarens plats kommer att spåras.
Kampanjen har varit verksamt sedan Maj förra året, med användare som tidigare luras att ladda ner skadlig kod med en falsk version av en vuxen app — men nu är de bakom Triout har ändrat sin taktik, distribuera skadlig kod med ett nytt beslutit version av en legitim integritet verktyg som har hämtats från Google Play store.
Detta nya sätt att distribuera Triout har varit närmare av forskare på säkerhetsföretaget Bitdefender, som också var ansvarig för det första att avslöja skadliga förra året.
SE: Vad är malware? Allt du behöver veta om virus, trojaner och skadlig programvara
Nu Triout är dolda i en falsk version av Psiphon, ett privatliv verktyg som är utformad för att hjälpa användare att kringgå censur på internet. Psiphon är särskilt inriktade mot att hjälpa användarna att leva under förtryckande regimer och dess tjänster har laddats ner flera miljoner gånger — versionen som finns tillgänglig i det officiella Google Play store har över 10 miljoner installationer.
Verktyget kan också laddas ner från webbplatser från tredje part, särskilt på platser som inte har tillgång till Google Play, och det är detta, i kombination med funktion och popularitet Psiphon, som sannolikt har gjort det till en tilltalande drag för dataintrång drift bakom Triout.
De som står bakom Triout har varit noga med att se till att den falska versionen av Psiphone ser ut och fungerar på samma sätt som the real thing, så att de kan genomföra kampanjen utan att väcka misstanke om offer.
Den skadliga versionen av appen (till vänster) jämfört med den riktiga versionen (höger).
Bild: Bitdefender
Den uppdaterade Triout följer i fotspåren av den ursprungliga kampanjen, som förekommer mycket selektiva när de riktar offer. Forskare upptäckt skadlig kod körs på sju enheter, med fem av dessa i Sydkorea och Tyskland. Tidigare kampanjer verkade fokus på Israel.
Det är fortfarande osäkert hur angriparna se till att deras utvalda offer luras att ladda ner skadlig kod, men det potentiellt innebär spear-phishing.
“Om de använde sig av social engineering för att lura offer till att installera appen från tredje part marknadsplatser eller förberett en online-kampanj som direkt riktar sig till ett begränsat antal användare, men det är osäkert vid denna tidpunkt hur offren har valts, målinriktad, och infekterade,” Liviu Arsene, ledande e-hot analytiker på Bitdefender berättade ZDNet.
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF-fil (TechRepublic)
Det är inte bara de drag som har förändrats — forskarna notera att kommandot och styra server angriparna använder för att extrahera data från äventyras enheter har ändrats till en IP-adress i Frankrike. I tillägg till detta, som tidigare analyserade prover av Triout hade lämnats in från Ryssland, medan den senaste versionen har laddats upp från OSS.
Detta undanflykter kring ursprunget av skadlig kod innebär det fortfarande inte är möjligt att identifiera ursprunget av den kampanj eller grupp som ligger bakom, men vad som är säkert är att Triout är fortfarande en extremt kraftfull hacking verktyg för att ge angripare med stora mängder av information.
“Det är en potent bit av skadlig kod som har varit medvetet utvecklat för spionage”, säger Arsene.
Forskare tror att kampanjen är fortfarande aktiv och rekommenderar användare att göra allt de kan för att undvika skadliga hot genom att hålla sina Android-operativsystemet uppdaterat och att bara installera appar från officiella källor där så är möjligt.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Dessa hackare använder Android övervakning skadlig kod till mål motståndare till den Syriska regeringen
Android-malware blir lömska TechRepublic
Denna data för att stjäla Android-malware som infiltrerat Google Play Store, som infekterar användare i 196 länder
Din smartphones blir mer värdefullt för hackare CNET
Enkel men mycket effektiv: i världens mest produktiva mobila banktjänster malware
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter