Mazar androidos kártékony kód


2016. február 17. 00:28

CH azonosító

CH-13034

Angol cím

Security Alert: Mazar BOT Spotted in Active Attacks – the Android Malware That Can Erase Your Phone

Felfedezés dátuma

2016.02.15.

Súlyosság

Alacsony

Érintett rendszerek

Android

Érintett verziók

A kártékony kód Android Kitkaten (4.4) és minden korábbi eszközön is működik.

Összefoglaló

A Heimdal dán kiberbiztonsági cég  egy olyan androidos kártevőt fedezett fel, ami szöveges üzenetekkel terjed. A támadók egyszerűen csak kiküldik SMS-ben a program telepítőkészletére mutató internetes hivatkozást.

Leírás

Telepítése után a malware adminisztrátori jogosultságot szerez, azaz a telefon tulajdonosáéval egyenlő mozgásteret kap. A Mazar névre keresztelt kártevő beépített funkció közül kiemelendő a netes adatforgalom adathalászatra használható proxy-n való átküldése, továbbá az emelt díjas SMS-ek küldésének lehetősége.

Az SMS/MMS megérkezik a telefonra a következő tartalommal +[ország kód] [küldő száma] Klikkeljen a következő linkre: http: //www.mmsforyou [.] Net / mms.apk

Ha az APK fut az Androidos telefonon, akkor rendszergazda jogokat kap az áldozat készülékén. Ez a következő hozzáféréseket teszi lehetővé a támadó számára:

  • SMS küldésének
  • internet hozzáférés
  • Rendszerablak hozzáférés
  • SMS írása, fogadása és olvasása 
  • Hálózati hozzáférés
  • lezárás feloldása
  • Taskokhoz való hozzáférés
  • Telefonhívás kezdeményezése
  • Telefon helyének megállapítása
  • Telefon teljes törlése

A rosszindulatú APK csomag telepíti a TOR eléréhetőséget az áldozat telefonjára a következő URL-elen keresztül:

  • https: //f-droid.org/repository/browse/?fdid=org.torproject.android
  • https: //play.google.com/store/apps/details?id=org.torproject.android

Ezt követő fázisban a kártevő kicsomagolja ás futtatja a TOR kérelmet, amely csatlakozik a következő szerverhez: http: // pc35hiptpcwqezgs [.] Onion.

Ezután egy automatikus üzenetet küld ezzel a hívószámmal 9876543210 (+98 Irán országhívó száma) a következő üzenettel: köszönöm!

Az SMS tartalmazza a készülék helymeghatározási adatait.

Ez az egyedi androidos kártevő hátsó ajtót nyit a támadóknak, akik a következőkhöz férhetnek hozzá a készüléken:

  • Hátsó kaput nyit az okostelefonon így bármikor nyomon tudja követni és ellenőrizni azt
  • Emelt díjas SMS üzeneteket küldhet, ami komoly kihatással lehet az áldozat telefonszámlájára
  • SMS üzeneteket olvashat, ami hozzáférést biztosít külünféle  online banki tranzakciós kódokhoz e-kereskedelmi webhelyeken
  • Manipulálhatja a készüléket, bármihez hozzáférhet a tulajdonos tudta nélkül

A Mazar nem települ olyan telefonokra, amelyek orosz nyelvűek, és csak akkor tud települni, ha be van állítva, hogy ismeretlen forrásokból is történhet ilyen. 

Megoldás

A cég azt javasolja a felhasználóknak, ne kattintsanak ismeretlen feladótól származó linkekre.

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Trójai
backdoor
man in the middle

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: heimdalsecurity.com
Egyéb referencia: www.bbc.com
Egyéb referencia: index.hu

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-7656 – Google Chrome sérülékenysége
CVE-2025-6541 – TP-Link sérülékenysége
CVE-2025-61884 – Oracle E-Business Suite Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2025-2747 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége
CVE-2025-61932 – Motex LANSCOPE Endpoint Manager sérülékenysége
CVE-2025-54957 – Dolby UDC out-of-bounds write sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
Tovább a sérülékenységekhez »