Pripazite na svoje uređaje: Vrebaju opasni virusi ukoliko koristite Android
07.08.2024. | 07:22Otkriven je novi malver koji napada i špijunira Android telefone.
U pitanju je malver pod imenom “LianSpy”, koji je prvi put primjećen u martu 2024. godine, kako je izvjestila antivirus kompanija Kasperski.
Ipak, smatraju da je aktivan još od jula 2021, ali da je uspio da ostane neprimjećen toliko dugo zahvaljujući tome što su napadači pomno prikrivali tragove.
Po pokretanju, “LianSpy” sakriva svoju ikonu na početnom ekranu i radi u pozadini koristeći root privilegije. Ovo mu omogućava da izbjegne obavještenja na statusnoj traci Android uređaja, koja bi obično upozorila žrtvu da pametni telefon aktivno koristi kameru ili mikrofon.
“LianSpy” se maskira u sistemske aplikacije i aplikacije banaka. Međutim, napadače ne zanimaju bankarski podaci žrtava. Ovaj špijunski softver diskretno prati aktivnosti korisnika tako što presreće evidencije poziva, šalje listu instaliranih aplikacija na server napadača i snima ekran pametnog telefona i to uglavnom tokom aktivnosti mesindžera.
Za razliku od drugih špijunskih malvera koji iskorišavaju ranjivosti bez ijednog klika, “LianSpy” zahtijeva neke radnje od strane žrtve. Po pokretanju, malver provjerava da li ima potrebne dozvole za čitanje kontakata i evidencija poziva i napad preklapanja. Ako ih nema, traži ih od žrtve. Nakon toga registruje “Android Broadcast Receiver” da bi dobio informacije o sistemskim događajima, što mu omogućava da pokrene ili zaustavi razne zlonamjerne zadatke.
“LianSpy” koristi root privilegije na prilično nekonvencionalan način. One se obično koriste za potpunu kontrolu nad uređajem. Međutim, u slučaju “LianSpy” malvera, napadači ih koriste da bi spriječili da budu otkriveni.
Napadači koriste ranjivosti za rootovanje Android uređaja ili modifikuju “firmware” tako što dobiju fizički pristup uređajima žrtava. Ostaje nejasno koju ranjivost su napadači mogli iskoristiti u prvom scenariju.
Još jedna karakteristika “LianSpy” je njegova kombinovana upotreba simetrične (jedan ključ za šifrovanje i dešifrovanje) i asimetrične (odvojeni javni i privatni ključevi) enkripcije. Prije krađe, podaci se šifruju simetričnim algoritmom čiji je ključ asimetrično šifrovan. Samo napadač posjeduje privatni ključ.
Ko stoji iza “LianSpy” malvera? Napadači koriste samo javne servise, a ne privatnu infrastrukturu, što otežava da se utvrdi koja hakerska grupa stoji iza ovih napada na korisnike Android pametnih telefona. Ovakve sofisticirane kampanje sajber špijunaže često su djelo grupa koje sponzorišu države.
Za sada, iz antivirus kompanije kažu da su ugroženi samo telefoni u Rusiji, ali da zbog nekonvencionalnog pristupa napadača, nema nikakvih prepreka da meta budu Androidi i u drugim dijelovima svijeta.