IT

Novi malver koji napada Android i iOS mobilne uređaje!

Kaspersky Lab otkriva novi malver koji napada Android i iOS mobilne uređaje i mapira komandne i kontrolne servere HackingTeam

Kaspersky Lab danas je objavio novo istraživanje, koje mapira široku internacionalnu infrastrukturu koja je kontrolisala Remote Control System’ (RCS) malver implantate, prethodno identifikujući neotkrivene trojance koji rade na Androidu i iOS sistemima. Ovi moduli su deo takozvanog legalnog špijunskog alata, RCS poznatijeg kao Galileo, koga je razvila italijanska kompanija HackingTeam.

googles-androidi

Spisak žrtava navedenih u novom istraživanju, sprovedenog od strane Kaspersky Lab zajedno sa svojim partnerom Citizen Lab, uključuje aktiviste i zagovornike ljudskih prava, kao i novinare i političare.

 

RCS infrastruktura

 

Kaspersky Lab je radio na različitim bezbednosnim pristupima kako bi locirao Galileove komandne i kontrolne servere širom planete. Tokom indetifikacionog procesa, Kaspersky Lab stručnjaci oslonili su se na posebne indikatore i podatke o povezivanju, dobijene “reverse engineering” postupkom.

 

Tokom poslednje analize, istraživači Kaspersky Lab su uspeli da mapiraju prisustvo više od 320 RCS C&C servera u više od 40 zemalja. Većina servera ima sedište u SAD, Kazahstanu, Ekvadoru, Ujedinjenom Kraljevstvu i Kanadi.

 

Komentarišući najnovija saznanja, Sergej Golovanov, glavni istraživač bezbedbosti u Kaspersky Lab, rekao je: “Prisustvo ovih servera u datim zemljama ne znači da ih koriste zvanična tela te zemlje. Međutim, ima smisla za korisnike RCS da rasporede C&C na lokacijama koje kontrolišu – gde postoje minimalni rizici od prekograničnih pravnih pitanja ili serverskih napada.”

 

 

RCS mobilni impantati

 

Iako je ranije bilo poznato da HackingTeam-ovi trojanci za mobilne telefone sa iOS i Android sistemima postoje, niko ih do sada nije i identifikovao ili primetio da se koriste u napadima. Kaspersky Lab eksperti istražuju RCS malver već nekoliko godina. Ranije ove godine uspeli su da identifikuju određene uzorke mobilnih modula koji su odgovarali ostalim RCS malver konfiguracijskim profilima u njihovoj kolekciji. Tokom nedavnog istraživanja, nove varijante uzoraka prikupljene su od žrtava preko Kaspersky Lab cloud-based KSN mreže. Dodatno, eksperti kompanije blisko su sarađivali sa Morgan Maquis-Boire iz Citizen Lab, koji je temeljno istraživao HackingTeam-ov set malvera.

 

Vektori infestacije: Operateri koji stoje iza Galileo RCS napravili su poseban zlonameran implantat za svaku konkretnu metu. Kada je uzorak spreman, napadač ih isporučuje na mobili uređaj žrtve. Neki od poznatih vektora infekcije uključuju spirfišing preko socijalnog inženjeringa – često u kombinaciji sa lokalnim infekcijama preko USB kablova tokom sinhronizacije mobilnih uređaja sa računarima.

 

Jedno od velikih otkrića bilo je tačno utvrđivanje kako Galileo trojanac za mobilne inficira iPhone – da bi to uradio uređaj mora biti džeilbrejkovan. Međutim, zaključani iPhone takođe mogu postati ranjivi: napadač može da pokrene alat za džeilbrejkovanje poput ‘Evasi0n’ na prethodno inficiranom kompjuteru i da sprovede džejlbrejk na daljinu praćen bajt infekcijom. Kako bi se izbegli rizici od infekcije, Kaspersky Lab stručnjaci preporučuju da pre svega ne džejlbrejkujete svoj iPhone, a drugo da redovno ažurirate najnoviju verziju iOS na vašem uređaju.

 

Prilagođeno špijuniranje: RCS mobilini moduli pedantno su dizajnirani da rade na diskretan način, na primer vodeći računa o trajanju baterije mobilnog uređaja. Ovo je omogućeno kroz pažljivo prilagođene špijunske mogućnosti ili posebne okidače: na primer, audio snimanje može početi samo kada je žrtva konektovana na posebnu Wi Fi mrežu (na primer, mrežu medijske kuće) ili kada on/ona promene SIM karticu, ili dok se uređaj puni.

 

U principu, RCS trojanci za mobilne su sposobni da obavljaju različite funkcije nadzora, uključujući i izveštavanje o lokaciji mete, fotografisanje, kopiranje događaja iz kalendara, registraciju novih SIM kartica ubačenih u inficirani uređaj, presretanje telefonskih poziva i poruka, uključujući i poruke poslate preko posebnih aplikacija kao što su Viber,WhatsApp i Skype, pored regularnih SMS poruka.

 

Detekcija: Kaspersky Lab proizvodi otkrile su sledeće RCS/DaVinci/Galileo spyware alatke su: Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut, Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent, Trojan-Spy.AndroidOS.Mekir and Backdoor.AndroidOS.Criag.

Leave a Reply