Malveri za mobilne uređaje su nešto s čime se često susrećemo. U 2023. godini, tehnologije kompanije Kaspersky su blokirale 33,8 miliona napada malvera, advera i rizik-vare na mobilne uređaje. Jedan od najznačajnijih napada iz 2023. godine bio je Operacija Triangulacija, koja je ciljala iOS, ali to je bio prilično jedinstven slučaj. Među mobilnim platformama, Android ostaje najpopularniji operativni sistem koji je meta kibernetičkih kriminalaca.
U nastavku pronađite informacije o tri najveća napada na Android uređaje u proteklih nekoliko meseci.
Tambir
Tambir je Android backdoor koja je ciljao najviše korisnike u Turskoj. Maskira se kao IPTV aplikacija, ali ne manifestuje takvu funkcionalnost. Umesto toga, to je potpuno funkcionalna aplikacija za špijuniranje koja prikuplja SMS poruke, pritiske na tastere i slično.
Po pokretanju, aplikacija prikazuje ekran koji na aktuelnom jeziku traži od korisnika da omogući uslugu pristupačnosti. Nakon što su mu dodeljene sve dozvole, aplikacija dobija C2 adresu iz javnog izvora, poput Telegrama, ICQ-a ili Twitter/X-a. Zatim, aplikacija menja svoju ikonu u onu od YouTube-a kako bi se prikrila. Tambir podržava više od 30 komandi koje može dobiti sa C2 servera. To uključuje pokretanje i zaustavljanje keylogger-a, pokretanje aplikacije navedene od strane napadača, slanje SMS poruka, biranje broja i tako dalje.
Postoje čak i određene sličnosti između Tambir-a i malvera GodFather. Oba ciljaju slične korisnike i oba podržavaju Telegram za dobijanje adrese C2 servera. Međutim, Tambir ima mnogo bogatiji skup funkcija i mnogo je efikasniji što se štete po korisnika tiče.
Dwphon
U novembru 2023. godine pojavila se varijanta Android malvera koja cilja mobilne telefone različitih kineskih OEM proizvođača. Njihovi proizvodi su uglavnom bili namenjeni ruskom tržištu. Isti malver ranije je pronađen u firmware-u pametnog sata za decu jednog izraelskog proizvođača, distribuiranog u Evropi i na Bliskom istoku.
Dwphon dolazi kao komponenta aplikacije za ažuriranje sistema i ima mnoge karakteristike preinstaliranog Android malvera. Na primer, prikuplja informacije o uređaju i lične informacije, kao i informacije o trećim aplikacijama instaliranim na uređaju. Tačna putanja infekcije nije jasna, ali postoji pretpostavka da je zaražena aplikacija uključena u firware uređaja kao rezultat mogućeg napada na lanac snabdevanja proizvođača.
Sam malver se sastoji od nekoliko modula koji pružaju niz funkcija:
- Glavni modul. Prikuplja informacije o sistemu (npr. IMSI, jezik sistema…) i šalje ih na C2 server. Komande koje se mogu primiti odnose se na instaliranje, preuzimanje i brisanje aplikacija na uređaju, preuzimanje fajlova i prikazivanje iskačućih prozora, između ostalog.
- DsSdk modul. Još jedan modul koji prikuplja informacije o uređaju. Modul ima svoj C2 server i nije sposoban da prima komande.
- ExtEnabler modul. Ovaj modul pokreće i nadgleda druge aplikacije. Deo funkcionalnosti modula je slanje emitovanja poruke kada se aplikacija pokrene. Prisustvo Trojadu Triada u jednom od istraženi uzoraka sugeriše vezu između Dwphon-a i Triad-e, iako nedostaje dovoljno dokaza da bi se to potvrdilo.
Gigabud
Gigabud je Android RAT (Remote Access Trojan), aktivan najmanje od sredine 2022. godine i prvi put otkriven u januaru 2023. Fokusiran je na krađu bankarskih podataka od pojedinaca. Prvobitno je oponašao lokalnu aplikaciju avio-kompanije, ali kasnije je prešao granice u druge zemlje, poput Perua, i takođe promenio funkcionalnost kako bi oponašao malver za lažne kredite. Po pokretanju, aplikacija prikazuje ekran za prijavu aplikacije koju oponaša, i zatim šalje akreditive, zajedno sa informacijama o uređaju, na C2 server. Zatim prikazuje virtuelnog asistenta, koji vodi žrtvu da podnese zahtev za kredit.
Nastavlja tako što traži da se omogući funkcija pristupačnosti – ako već nije. To mu je potrebno da bi ukrao akreditive i oponašao dodire na ekran čime se zaobilazi dvofaktorska autentifikacija. Osim krađe akreditiva, Gigabud ugrađuje i modul za snimanje ekrana. Glavna funkcionalnost je krađa akreditiva sa zaraženog uređaja. To radi tako što strimuje ekran na C2 server putem WebSocket-a ili RTMP-a.
Gigabud sadrži i različite artefakte na kineskom jeziku. Na primer, log poruke su napisane na kineskom, potpis APK-a je na kineskom, a C2 serveri se nalaze u Kini.
1,3 miliona zlonamernih paketa za Android u 2023
Tokom 2023. godine, Kaspersky je otkrio više od 1,3 miliona jedinstvenih zlonamernih instalacionih paketa koji ciljaju Android platformu i distribuiraju se na različite načine.
Korisnici se mogu zaštititi tako što neće preuzimati aplikacije sa nezvaničnih prodavnica aplikacija i pažljivo pregledati dozvole koje aplikacije traže. Dodatno, alati za antivirusnu zaštitu mobilnih uređaja pomažu da vaš Android uređaj ostane čist i bezbedan.