CH azonosító
CH-13034Angol cím
Security Alert: Mazar BOT Spotted in Active Attacks – the Android Malware That Can Erase Your PhoneFelfedezés dátuma
2016.02.15.Súlyosság
AlacsonyÉrintett rendszerek
AndroidÉrintett verziók
A kártékony kód Android Kitkaten (4.4) és minden korábbi eszközön is működik.
Összefoglaló
A Heimdal dán kiberbiztonsági cég egy olyan androidos kártevőt fedezett fel, ami szöveges üzenetekkel terjed. A támadók egyszerűen csak kiküldik SMS-ben a program telepítőkészletére mutató internetes hivatkozást.
Leírás
Telepítése után a malware adminisztrátori jogosultságot szerez, azaz a telefon tulajdonosáéval egyenlő mozgásteret kap. A Mazar névre keresztelt kártevő beépített funkció közül kiemelendő a netes adatforgalom adathalászatra használható proxy-n való átküldése, továbbá az emelt díjas SMS-ek küldésének lehetősége.
Az SMS/MMS megérkezik a telefonra a következő tartalommal +[ország kód] [küldő száma] Klikkeljen a következő linkre: http: //www.mmsforyou [.] Net / mms.apk
Ha az APK fut az Androidos telefonon, akkor rendszergazda jogokat kap az áldozat készülékén. Ez a következő hozzáféréseket teszi lehetővé a támadó számára:
- SMS küldésének
- internet hozzáférés
- Rendszerablak hozzáférés
- SMS írása, fogadása és olvasása
- Hálózati hozzáférés
- lezárás feloldása
- Taskokhoz való hozzáférés
- Telefonhívás kezdeményezése
- Telefon helyének megállapítása
- Telefon teljes törlése
A rosszindulatú APK csomag telepíti a TOR eléréhetőséget az áldozat telefonjára a következő URL-elen keresztül:
- https: //f-droid.org/repository/browse/?fdid=org.torproject.android
- https: //play.google.com/store/apps/details?id=org.torproject.android
Ezt követő fázisban a kártevő kicsomagolja ás futtatja a TOR kérelmet, amely csatlakozik a következő szerverhez: http: // pc35hiptpcwqezgs [.] Onion.
Ezután egy automatikus üzenetet küld ezzel a hívószámmal 9876543210 (+98 Irán országhívó száma) a következő üzenettel: köszönöm!
Az SMS tartalmazza a készülék helymeghatározási adatait.
Ez az egyedi androidos kártevő hátsó ajtót nyit a támadóknak, akik a következőkhöz férhetnek hozzá a készüléken:
- Hátsó kaput nyit az okostelefonon így bármikor nyomon tudja követni és ellenőrizni azt
- Emelt díjas SMS üzeneteket küldhet, ami komoly kihatással lehet az áldozat telefonszámlájára
- SMS üzeneteket olvashat, ami hozzáférést biztosít külünféle online banki tranzakciós kódokhoz e-kereskedelmi webhelyeken
- Manipulálhatja a készüléket, bármihez hozzáférhet a tulajdonos tudta nélkül
A Mazar nem települ olyan telefonokra, amelyek orosz nyelvűek, és csak akkor tud települni, ha be van állítva, hogy ismeretlen forrásokból is történhet ilyen.
Megoldás
A cég azt javasolja a felhasználóknak, ne kattintsanak ismeretlen feladótól származó linkekre.
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Trójai
backdoor
man in the middle
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: heimdalsecurity.com
Egyéb referencia: www.bbc.com
Egyéb referencia: index.hu
