Mazar androidos kártékony kód

CH azonosító

CH-13034

Angol cím

Security Alert: Mazar BOT Spotted in Active Attacks – the Android Malware That Can Erase Your Phone

Felfedezés dátuma

2016.02.15.

Súlyosság

Alacsony

Érintett rendszerek

Android

Érintett verziók

A kártékony kód Android Kitkaten (4.4) és minden korábbi eszközön is működik.

Összefoglaló

A Heimdal dán kiberbiztonsági cég  egy olyan androidos kártevőt fedezett fel, ami szöveges üzenetekkel terjed. A támadók egyszerűen csak kiküldik SMS-ben a program telepítőkészletére mutató internetes hivatkozást.

Leírás

Telepítése után a malware adminisztrátori jogosultságot szerez, azaz a telefon tulajdonosáéval egyenlő mozgásteret kap. A Mazar névre keresztelt kártevő beépített funkció közül kiemelendő a netes adatforgalom adathalászatra használható proxy-n való átküldése, továbbá az emelt díjas SMS-ek küldésének lehetősége.

Az SMS/MMS megérkezik a telefonra a következő tartalommal +[ország kód] [küldő száma] Klikkeljen a következő linkre: http: //www.mmsforyou [.] Net / mms.apk

Ha az APK fut az Androidos telefonon, akkor rendszergazda jogokat kap az áldozat készülékén. Ez a következő hozzáféréseket teszi lehetővé a támadó számára:

  • SMS küldésének
  • internet hozzáférés
  • Rendszerablak hozzáférés
  • SMS írása, fogadása és olvasása 
  • Hálózati hozzáférés
  • lezárás feloldása
  • Taskokhoz való hozzáférés
  • Telefonhívás kezdeményezése
  • Telefon helyének megállapítása
  • Telefon teljes törlése

A rosszindulatú APK csomag telepíti a TOR eléréhetőséget az áldozat telefonjára a következő URL-elen keresztül:

  • https: //f-droid.org/repository/browse/?fdid=org.torproject.android
  • https: //play.google.com/store/apps/details?id=org.torproject.android

Ezt követő fázisban a kártevő kicsomagolja ás futtatja a TOR kérelmet, amely csatlakozik a következő szerverhez: http: // pc35hiptpcwqezgs [.] Onion.

Ezután egy automatikus üzenetet küld ezzel a hívószámmal 9876543210 (+98 Irán országhívó száma) a következő üzenettel: köszönöm!

Az SMS tartalmazza a készülék helymeghatározási adatait.

Ez az egyedi androidos kártevő hátsó ajtót nyit a támadóknak, akik a következőkhöz férhetnek hozzá a készüléken:

  • Hátsó kaput nyit az okostelefonon így bármikor nyomon tudja követni és ellenőrizni azt
  • Emelt díjas SMS üzeneteket küldhet, ami komoly kihatással lehet az áldozat telefonszámlájára
  • SMS üzeneteket olvashat, ami hozzáférést biztosít külünféle  online banki tranzakciós kódokhoz e-kereskedelmi webhelyeken
  • Manipulálhatja a készüléket, bármihez hozzáférhet a tulajdonos tudta nélkül

A Mazar nem települ olyan telefonokra, amelyek orosz nyelvűek, és csak akkor tud települni, ha be van állítva, hogy ismeretlen forrásokból is történhet ilyen. 

Megoldás

A cég azt javasolja a felhasználóknak, ne kattintsanak ismeretlen feladótól származó linkekre.