Threat Database Malware "Mise à jour du système" Malware Android

"Mise à jour du système" Malware Android

Les utilisateurs d'Android sont menacés par un nouveau malware Android sophistiqué qui se présente comme une application de «mise à jour du système». La menace a été découverte récemment par les chercheurs de l'Infosec. Selon leurs conclusions, le malware `` System Update '' présente un large éventail de fonctionnalités menaçantes avec des fonctionnalités rarement vues, une infrastructure de commande et de contrôle (C2, C&C) bien établie avec différents serveurs pour les communications entrantes et sortantes, ainsi que techniques de détection-évitement.

S'il est capable d'infiltrer l'appareil de l'utilisateur, le malware `` System Update '' agit efficacement comme un RAT (cheval de Troie d'accès à distance) capable de collecter et d'exfiltrer des données, d'exécuter des commandes entrantes et de prendre le contrôle de certaines fonctions de l'appareil infecté. Il convient de noter que la menace n'a pas été en mesure de pénétrer dans le magasin officiel de Google Play et se propage à la place via des plates-formes d'applications tierces.

Un large éventail de fonctions sophistiquées

Le malware 'System Update' présente une multitude de capacités menaçantes qui permettent aux attaquants de mener diverses actions néfastes sur l'appareil Android compromis. Une fois établie, la menace initie la communication avec un serveur Firebase C&C. Lors de l'échange initial, diverses données sur l'appareil infecté sont envoyées, notamment la présence de WhatsApp sur le système, la charge de la batterie, les statistiques de stockage et le type de connexion Internet. Les informations accompagnées d'un jeton reçu du service de messagerie Firebase sont utilisées pour enregistrer l'appareil auprès du C&C. La menace de malware utilise le Firebase C&C uniquement pour recevoir des commandes entrantes tandis que toutes les données exfiltrées sont transmises à un autre serveur C&C via des requêtes POST.

Les commandes spécifiques reçues par la menace, déclenchent différentes fonctionnalités. Le logiciel malveillant «Mise à jour du système» peut accéder au microphone et commencer à enregistrer de l'audio ou enregistrer des conversations téléphoniques. Les données collectées seront enregistrées dans un fichier d'archive ZIP avant d'être téléchargées sur le serveur C&C. La menace harcèle l'utilisateur avec des demandes d'activation des services d'accessibilité à plusieurs reprises, et en cas de succès, il essaiera de récupérer les détails de la conversation et du message de l'écran de WhatsApp.

Le logiciel espion établit de nombreux auditeurs, observe et diffuse des intentions qui déclenchent des actions menaçantes spécifiques telles que la collecte de données du presse-papiers, l'espionnage de SMS, de contacts, de journaux d'appels, de notifications, de localisation GPS, etc. Les fichiers stockés sur l'appareil compromis seront analysés et tout dont la taille est inférieure à 30 Mo et considérée comme précieuse, comme les extensions .pdf, .docx, .doc, .xlsx, .xls, .pptx et .ppt seront copiées puis exfiltrées vers le serveur C&C. D'autres données d'utilisateurs privées telles que les signets et l'historique de recherche seront également extraites des navigateurs Web populaires tels que le navigateur Internet Samsung, Google Chrome et Mozilla Firefox.

Le logiciel espion est extrêmement conscient que les données qu'il recueille sont aussi actuelles que possible. Il capture les données de localisation du GPS ou du réseau et les met à jour toutes les 5 minutes. La même technique est également utilisée pour toutes les photos prises avec l'appareil photo de l'appareil, seul l'intervalle étant augmenté à 40 minutes.

Plusieurs techniques masquent les activités anormales

Outre ses capacités étendues de RAT et de logiciels espions, le malware «System Update» a également été équipé de nombreuses techniques conçues pour le protéger des regards indiscrets. Les plus basiques incluent le blocage de l'icône de l'application menaçante de s'afficher correctement dans l'onglet du tiroir ou le menu du périphérique infecté. Tous les fichiers contenant des informations collectées sont supprimés immédiatement après réception d'une réponse réussie du serveur distant sur lequel les données sont exfiltrées. Lors de la collecte de fichiers stockés sur des stockages externes qui incluent de nombreuses images de vidéos, le logiciel espion se concentre plutôt sur la collecte des vignettes appropriées. Cette méthode permet à l'activité menaçante de rester inaperçue par rapport à l'alternative de créer une bande passante anormale massive, en particulier.

Si le logiciel malveillant 'System Update' reçoit une commande du serveur Firebase C&C alors que l'écran de l'appareil compromis est éteint, il génère une fausse notification pour induire l'utilisateur en erreur. La notification prétend avoir été générée par le système d'exploitation de l'appareil en affichant un faux message «Recherche de mise à jour ..».

Tendance

Le plus regardé

Chargement...