Ερευνητές ασφαλείας από την FireEye ανακάλυψαν μια νέα απειλή για συσκευές Android. Αυτή τη φορά έρχεται σαν κλώνος του Google Play.

Οι ερευνητές Jinjian Zhai και ο Jimmy Su της FireEye ανέλυσαν τη συμπεριφορά της κακόβουλης εφαρμογής και προσδιορίσαν ότι ο εισβολέας χρησιμοποιεί ένα dynamic DNS server με το πρωτόκολλο SSL του Gmail για να συλλέγει τα δεδομένα που αποστέλλει η εφαρμογή.

Μόλις η ψεύτικο εφαρμογή αρχίσει να τρέχει, (ονομάζεται “googl app stoy,” ζητάει δικαιώματα διαχειριστή και, αντί να ανοίξει ένα παράθυρο του UI, παρουσιάζει μηνύματα λάθους και ενημερώνει το χρήστη ότι η googl app stoy έχει διαγραφεί και η δραστηριότητα της έχει σταματήσει.

Μετά από μια πιο προσεκτική εξέταση, οι ερευνητές παρατήρησαν ότι διαγράφει μόνο το εικονίδιό της εφαρμογής, αλλά η ίδια η εφαρμογή συνεχίζει να λειτουργεί στο παρασκήνιο και αρχίζει να χρησιμοποιεί μια σειρά από πέντε υπηρεσίες. Έχει πρόσβαση στη λίστα των εφαρμογών που τρέχουν στη συσκευή και η ίδια δεν μπορεί να αφαιρεθεί ή να απεγκατασταθεί.

Αυτό έχει ιδιαίτερη σημασία, επειδή τα θύματα χρειάζεται να την τρέξουν μόνο μια φορά για να ενεργοποιηθεί και να αρχίσει να εξαφανίζει τα ίχνη από τις ύποπτες δραστηριότητες που πραγματοποιεί. Έτσι είναι σχεδόν αόρατη, αφού το πραγματικό εικονίδιο του Google Play εξακολουθεί να είναι στη θέση του.

Το κακόβουλο πρόγραμμα φαίνεται να κρύβει το κακόβουλο λογισμικό με συμπίεση και κρυπτογράφηση. Οι ερευνητές της FireEye κατάφεραν να το αποκρυπτογραφήσουν και κατέληξαν στο συμπέρασμα ότι τα στοιχεία που αποστέλλονται στους εγκληματίες του κυβερνοχώρου είναι σύντομα μηνύματα κειμένου, τις ψηφιακές υπογραφές των πιστοποιητικών, και τους κωδικούς πρόσβασης τραπεζικών λογαριασμών.

Οι δύο ερευνητές μπορούσαν να επιβεβαιώσουν ότι οι ψηφιακές υπογραφές και τα υπόλοιπα ευαίσθητα δεδομένα εστάλησαν στην ιστοσελίδα “dhfjhewjhsldie.xicp.net.”

Βρήκαν επίσης τα στοιχεία μετάδοσης των SMS αντικαθιστώντας ένα cached αρχείο στο τηλέφωνο με ένα δικό τους που περιείχε μια δικά τους διεύθυνση Gmail.

Μια επίσης σημαντική πληροφορία στον τομέα της έρευνας είναι το γεγονός ότι μόνο τρεις κινητήρες σάρωσης από την VirusTotal ανίχνευσαν το δείγμα σαν κακόβουλο.