Szkodnik wykrada dane z mobilnych wersji Messengera, Skype’a i innych komunikatorów

System operacyjny Android już od dawna jest najpopularniejszą platformą i to nie tylko w świecie mobilnym, ale ogółem. Jego popularność jest większa nawet od Windowsa, a najlepiej oddaje to pierwszy wykres poniżej. Niestety wraz z popularnością wzrasta także liczba zagrożeń. Coraz częściej można trafić na szkodliwe oprogramowanie, które po zainfekowaniu systemu Android, szpieguje użytkownika, wykrada dane, a niekiedy szyfruje urządzenie, żądając okupu za odblokowanie telefonu.

Źródło: http://gs.statcounter.com/os-market-share#monthly-201703-201803-bar 
Źródło: http://gs.statcounter.com/os-market-share#monthly-201703-201803-bar

Jak poinformowała firma Trustlook w swoim raporcie[1], nowy szkodnik wykrada dane z mobilnych komunikatorów. Według badaczy jego budowa jest dość prosta, co nie znaczy, że pospolita. Koń trojański posiada dość zaawansowane mechanizmy unikania wykrycia, poprzez stosowanie technik antyemulacyjnych czy debuggingu, co utrudnia analizę dynamiczną. Część kodu jest również ukryta by zapobiec inżynierii wstecznej.

Źródło: https://blog.trustlook.com/2018/04/02/a-trojan-with-hidden-malicious-code-steals-users-messenger-app-information/
Źródło: https://blog.trustlook.com/2018/04/02/a-trojan-with-hidden-malicious-code-steals-users-messenger-app-information/

Malware zbiera informacje związane z poniższymi aplikacjami:

  • Tencent WeChat
  • Weibo
  • Voxer Walkie Talkie Messenger
  • Telegram Messenger
  • Gruveo Magic Call
  • Twitter
  • Line
  • Coco
  • BeeTalk
  • TalkBox Voice Messenger
  • Viber
  • Momo
  • Facebook Messenger
  • Skype

Tego typu metody bronienia się szkodliwego oprogramowania przed analizą pokazują, że wykrycie współczesnego szkodliwego oprogramowania może być trudne dla programów antywirusowych. Z tego powodu, oprócz odpowiedniej ochrony smartfona, warto również weryfikować pobierane i instalowane oprogramowanie. Niestety na chwilę obecną nie jest znana metoda dystrybucji tego szkodnika.

[1] https://blog.trustlook.com/2018/04/02/a-trojan-with-hidden-malicious-code-steals-users-messenger-app-information/