Malware Android cu numele COVID fură SMS-uri și contacte

Un nou troian este folosit de hackeri, care profită de pandemia cu COVID-19, bazându-se pe nevoia oamenilor de informații pe acest subiect. Scopul acestora este de a fura date personale, inclusiv mesaje SMS, jurnalele de apeluri, contacte etc.

Există patru versiuni diferite ale acestui malware, detectate ca „Android.Trojan.InfoStealer.UQ”. Numele pachetului este „DZ.Eagle.Master”, iar eticheta aplicației este „Covid”. Aplicațiile au aceeași etichetă, dar pictogramele sunt diferite.

APK MD5
2d84a8bbd77aee8432742dc28eef2da3
4271184bc33ee9672fe4713f14e43bd6
51a4472a506795e386906541c3483080
a81c5c3da9d41069af9ab00780dbe09e

Când utilizatorul rulează aplicația, nu se întâmplă nimic, aceasta se deschide și se închide repede, însă în fundal există multă activitate. În primul rând, programul malware contactează serverul C&C și trimite informațiile din dispozitiv: operatorul de rețea, modelul de telefon, producătorul, numărul de serie al SIM, adresa IP.

Serverul C&C trimite înapoi un fișier settings.xml:

<?xml version=”1.0″ encoding=”utf-8″?>

<XML>

<HP Host=”flyrosebifr[.]webhop[.]me”>1954</HP>

<Fdir Pkd=”DZ.Eagle.Master”>Covid</Fdir>

</XML>

Numele pachetului DZ.Eagle.Master conține codul Algeriei, iar domeniul C&C este gazduit la un server din Algeria.

Dezvoltatorii au separat comenzile în cinci tipuri distincte. În timp ce toate eșantioanele distribuie troianul, unele sunt mai avansate decât altele.

CP – colectează toate contactele de pe dispozitiv și le trimite la C&C
Call – colectează toate apelurile telefonice și le trimite la
C&C
Info – colectează informații despre dispozitiv și le trimite la
C&C: operatorul de rețea, modelul de telefon, producătorul, numărul de serie al SIM, adresa IP
MSG – afișează un mesaj
CL – comanda de închidere
SMS – colectează toate contactele de pe dispozitiv și le trimite la
C&C

Programul malware nu se lansează în execuție înainte ca utilizatorul să repornească telefonul, ceea ce este probabil un mijloc de a ascunde funcționalitatea sa reală.

Amenințarea folosește un certificat vechi, dar încă valabil, care a fost distribuit cu mai multi ani în urmă și este folosit acum pentru a semna mostre cu componente Potentially Unwanted Applications (PUAs), Adware sau malware.

Deoarece certificatul nu a fost revocat, este încă utilizat în aplicații și malware. A fost găsit în 125.000 de scanări doar în 2020, fiind răspândit pe tot globul.

În acest troian, hackerii au lăsat numele de versiune  „–no-version-vectors”. Este o tactică comună a malware-ului polimorfic, care își schimbă întotdeauna caracteristicile pentru a evita detectarea.

COVID-19 rămâne o temă intens folosită de hackeri, care caută să inducă în eroare oamenii, pentru a distribui malware. Utilizatorii ar trebui să fie întotdeauna atenți la aplicațiile care utilizează o temă despre coronavirus și să folosească întotdeauna o soluție de securitate pentru a menține dispozitivele lor în siguranță.

Sursa: www.bitdefender.com