'System Update' Android Malware

Android-Benutzer sind von einer neuen hoch entwickelten Android-Malware bedroht, die sich als "System Update" -Anwendung ausgibt. Die Bedrohung wurde kürzlich von den Infosec-Forschern entdeckt. Ihren Erkenntnissen zufolge weist die Malware "System Update" eine breite Palette bedrohlicher Funktionen mit einigen selten gesehenen Funktionen auf, eine gut etablierte Command-and-Control-Infrastruktur (C2, C & C) mit verschiedenen Servern für eingehende und ausgehende Kommunikation sowie Techniken zur Vermeidung von Erkennung.

Wenn es in der Lage ist, das Gerät des Benutzers zu infiltrieren, fungiert die Malware "System Update" effektiv als RAT (RAS-Trojaner), der Daten sammeln und exfiltrieren, eingehende Befehle ausführen und die Kontrolle über bestimmte Funktionen des infizierten Geräts übernehmen kann. Es ist zu beachten, dass die Bedrohung den offiziellen Google Play Store nicht verletzen konnte und stattdessen über Anwendungsplattformen von Drittanbietern verbreitet wird.

Eine breite Palette von hoch entwickelten Funktionen

Die Malware "System Update" weist eine Vielzahl von Bedrohungsfunktionen auf, mit denen die Angreifer verschiedene schändliche Aktionen auf dem gefährdeten Android-Gerät ausführen können. Sobald die Bedrohung eingerichtet ist, initiiert sie die Kommunikation mit einem Firebase C & C-Server. Während des ersten Austauschs werden verschiedene Daten über das infizierte Gerät gesendet, darunter - ob WhatsApp im System vorhanden ist, Akkuladung, Speicherstatistik und Internetverbindungstyp. Die Informationen neben einem vom Firebase-Nachrichtendienst empfangenen Token werden verwendet, um das Gerät beim C & C zu registrieren. Die Malware-Bedrohung verwendet Firebase C & C nur zum Empfangen eingehender Befehle, während alle exfiltrierten Daten über POST-Anforderungen an einen anderen C & C-Server übermittelt werden.

Die spezifischen Befehle, die von der Bedrohung empfangen werden, lösen unterschiedliche Funktionen aus. Die Malware "System Update" kann auf das Mikrofon zugreifen und mit der Aufzeichnung von Audio- oder Telefongesprächen beginnen. Die gesammelten Daten werden als ZIP-Archivdatei gespeichert, bevor sie auf den C & C-Server hochgeladen werden. Die Bedrohung belästigt den Benutzer mit Anfragen, Accessibility Services wiederholt zu aktivieren. Bei Erfolg wird versucht, Konversations- und Nachrichtendetails vom WhatsApp-Bildschirm zu entfernen.

Die Spyware erstellt zahlreiche Listener, beobachtet und sendet Absichten, die bestimmte Bedrohungsaktionen auslösen, z. B. das Sammeln von Daten in der Zwischenablage, das Ausspionieren von SMS, Kontakten, Anrufprotokollen, Benachrichtigungen, den GPS-Standort usw. Die auf dem gefährdeten Gerät gespeicherten Dateien werden gescannt und alle anderen die weniger als 30 MB groß sind und wird als wertvoll angesehen werden, z. B. wenn die Erweiterungen .pdf, .docx, .doc, .xlsx, .xls, .pptx und .ppt vorhanden sind. Diese werden kopiert und dann auf den C & C-Server exfiltriert. Weitere private Benutzerdaten wie Lesezeichen und Suchverlauf werden ebenfalls von gängigen Webbrowsern wie dem Samsung Internet Browser, Google Chrome und Mozilla Firefox entnommen.

Die Spyware ist sich sehr bewusst, dass die gesammelten Daten so aktuell wie möglich sind. Es erfasst die Standortdaten entweder vom GPS oder vom Netzwerk und aktualisiert sie alle 5 Minuten. Dieselbe Technik wird auch für alle Fotos verwendet, die mit der Kamera des Geräts aufgenommen wurden, wobei nur das Intervall auf 40 Minuten erhöht wird.

Mehrere Techniken verbergen die abnormalen Aktivitäten

Neben den umfangreichen RAT- und Spyware-Funktionen wurde die Malware "System Update" mit zahlreichen Techniken ausgestattet, um sie vor neugierigen Blicken zu schützen. Zu den grundlegenderen gehört das Blockieren der korrekten Anzeige des Symbols der bedrohlichen Anwendung auf der Registerkarte "Schublade" oder im Menü des infizierten Geräts. Alle Dateien mit gesammelten Informationen werden sofort nach Erhalt einer erfolgreichen Antwort vom Remote-Server gelöscht, auf dem die Daten exfiltriert werden. Beim Sammeln von Dateien, die in externen Speichern gespeichert sind und zahlreiche Bilder von Videos enthalten, konzentriert sich die Spyware stattdessen auf das Sammeln der entsprechenden Miniaturansichten. Diese Methode ermöglicht es, dass die bedrohliche Aktivität im Vergleich zu der Alternative, insbesondere einen massiven Pfad mit abnormaler Bandbreite zu erzeugen, relativ unbemerkt bleibt.

Wenn die Malware "System Update" einen Befehl vom Firebase C & C-Server erhält, während der Bildschirm des gefährdeten Geräts ausgeschaltet ist, wird eine gefälschte Benachrichtigung generiert, um den Benutzer irrezuführen. Die Benachrichtigung gibt vor, vom Betriebssystem des Geräts generiert worden zu sein, indem eine falsche Meldung "Nach Update suchen .." angezeigt wird.