Truslene på nettet blir stadig flere og mer alvorlige, og mobilbrukere er også i økende grad attraktive mål for ondsinnede aktører. Nå rapporterer sikkerhetsforskere om en ny, farlig skadevare til Android-plattformen, skriver Forbes.
IT-sikkerhetsselskapet Check Point publiserte nylig en rapport hvor de omtaler en skadevare-familie ved navn Rogue, en type RAT-programvare (remote access trojan) som retter seg spesifikt mot Android.
En haug med ferdigheter
Programvaren ble oppdaget av sikkerhetsselskapet på det «mørke» nettet, hvor en trusselaktør som kaller seg Triangulum aktivt har markedsført og solgt ulike utgaver av programvaren i lengre tid og opparbeidet seg høy status. Aktøren skal ifølge Check Point besitte solide tekniske ferdigheter.
Rogue-skadevaren har mange ulike egenskaper som gjør den til en potensielt stor sikkerhets- og personverntrussel for brukere.
– Rogue-familien er en MRAT (mobile remote access trojan, red.anm.). Denne type skadevare kan skaffe seg kontroll over vertsenheten og hente ut en hvilken som helst type data (bilder, lokasjon, kontakter, meldinger etc.), modifisere filene på enhetene, laste ned øvrig programvare og alt mulig annet man kan komme på, skriver sikkerhetsselskapet.
Check Point har publisert en lengre liste over skadevarens ferdigheter, som inkluderer mulighet til å ta bilder og video med enhetens kamera, og ta bilder og video av enhetens egen skjerm. Den kan også starte oppringninger og sende meldinger, og ta opp både innkommende og utgående samtaler.
Holder seg skjult
Skadevaren fungerer ved å skaffe seg nødvendige privilegier på mobilen, og om dette ikke lykkes vil programvaren aktivt forespørre privilegier av brukeren. Deretter registrerer den seg som enhetsadministrator, og dersom brukeren forsøker å reversere denne tillatelsen vil det dukke opp meldinger konstruert for å avskrekke brukeren fra å gjøre dette.
Skadevaren holder seg skjult ved å gjemme ikonene, og samtidig bruker den en legitim tjeneste – Google Firebase – til å kamuflere kommunikasjonen med «command & control»-serveren.
Kommandoene som kontrollerer skadevaren, samt all informasjonen som stjeles av programvaren, leveres via Firebase sin infrastruktur, forklarer sikkerhetsforskerne. Google Firebase er en plattform for utvikling av web- og mobilapplikasjoner.
Rogue er også i stand til å registrere virtuelle miljøer, en egenskap som kan brukes til å forsinke eller avbryte ondsinnede aktiviteter.
En talsperson for Check Point uttalte overfor Forbes at flere hundre tusen mobiler trolig er blitt infisert med programvaren hittil, men at dette tallet kommer til å vokse raskt, blant annet på grunn av den aktive markedsføringen av produktet.
Siden det er opptil «kundene» som skaffer seg skadevaren å avgjøre infeksjonsmetoden sprer Rogue seg på flere ulike måter, blant annet gjennom applikasjoner i app-butikker og phishing-angrep.
Mer informasjon om skadevaren finner du hos Check Point.
Kommer seg rundt 2FA-verifisering: Ny Android-skadevare kan stjele engangskoder
