Un malware Android loveste telefoanele cu anunturi nedorite
Utilizatorii Android din peste 20 de tari au fost infectati cu un program malware extrem de agresiv, care bombardeaza dispozitivele cu anunturi nedorite.
Cercetatorii din cadrul FireEye au descoperit ca componenta malware, denumita Kemoge, a fost insamantata in interiorul a ceea ce par a fi aplicatii legitime oferite de terte magazine de aplicatii.
“Aceasta este o alta familie de adware malitios, posibil scris de catre dezvoltatorii chinezi sau controlat de catre hackerii chinezi, raspandit pe scara larga, care reprezinta o amenintare semnificativa”, a scris Yulong Zhang, cercetare FireEye, scrie smartnews.ro.
Oricine a creat Kemoge a reambalat aplicatiile legitime cu malware si apoi le-a promovat pe site-uri web si prin anunturi publicitare in-app, pentru a convinge oamenii sa le descarce.
Zhang a enumerat o serie de aplicatii afectate: Sex Cademy, Assistive Touch, Calculator, Kiss Browser, Smart Touch, Shareit, Privacy Lock, Easy Locker, 2048kg, Talking Tom 3, WiFi Enhancer si Light Browser.
Tertele magazine de aplicatii sunt considerate a fi locuri riscante pentru descarcarea aplicatiilor Android, hackerii incarcand frecvent aplicatii malware in aceste magazine. Google efectueaza un control de securitate al aplicatiilor din Play Store, desi se strecoara deseori in magazin si aplicatii daunatoare.
Kemoge nu doar afiseaza anunturi nedorite, si este incarcat si cu opt radacini de exploit care vizeaza o gama larga de dispozitive Android, a scris Zhang. Un atac reusit folosind aceste exploit-uri presupune ca un atacator ar avea control complet asupra dispozitivului.
Kemoge va colecta numerele IMEI (International Mobile Station Equipment Identity) si IMSI (International Mobile Subscriber Identity) ale dispozitivului, informatii cu privire la stocare si aplicatii, iar apoi va trimite informatiile pe un server de la distanta.
Serverul de comanda si control inca functioneaza, a scris Zhang. O analiza a traficului schimbat intre un dispozitiv infectat si server a aratat ca Kemoge incearca sa dezinstaleze aplicatii antivirus.
Curios, FireEye a dat peste o aplicatie numita Shareit in magazinul Google Play, care era semnata cu acelasi certificat digital ca si aplicatia malware gasita in tertul magazin de aplicatii.
Versiunea Google Play a Shareit nu avea cele opt radacini de exploit si nu contacta serverul de comanda si control, insa avea unele dintre bibliotecile de cod Kemoge. Acum, aplicatia pare sa fi disparut din Google Play. “Am notificat Google cu privire la aceasta amenintare”, a scris Zhang.
