Nuevo malware avanzado de Android que es una actualización del sistema

AndroidManifest malware. Crédito: Zimperium

En las últimas semanas, los investigadores de Zimperium zLabs han descubierto configuraciones de nube inseguras que muestran los datos del usuario en miles de aplicaciones legítimas de Android e iOS. Ahora, zLabs ofrece consejos a los usuarios de Android sobre una nueva aplicación inteligente y maliciosa de Android.

Este último malware toma la forma de la aplicación System Update para robar datos, fotos y mensajes y usurpar el control de todos los teléfonos Android. Después de tomar el control, los atacantes pueden grabar archivos de audio y Llamadas telefónicasVea el historial del navegador, tome fotos y acceda a los mensajes de WhatsApp, entre otras actividades.

Los investigadores de ZLabs descubrieron esta supuesta aplicación de actualización del sistema después de descubrir una aplicación marcada por el motor de malware z9 que detecta zIPS en el dispositivo. Demuestre el logro de esta actividad para rastrear una campaña avanzada de software espía con capacidades complejas. Los investigadores llegaron a un acuerdo después de confirmar con Google que dicha aplicación no existía y que no estaba prevista su lanzamiento en Google Play.

Con una extensa lista de capacidades de piratería, este malware puede robar mensajes de sistemas de mensajería instantánea y sus archivos de base de datos usando root, verificar marcadores y búsquedas predeterminadas para navegadores, verificar marcadores e historial de búsqueda de navegadores de Internet de Google Chrome, Mozilla Firefox y Samsung. Busque archivos con las extensiones especificadas .doc ,. docx ,. pdf y. xls y. xlsx; Verificar los datos del portapapeles y el contenido de notificaciones, tomar fotos periódicas a través de la cámara frontal o trasera, ver aplicaciones instaladas, robar fotos y videos, monitorear a través de GPS, robar contactos telefónicos y mensajes SMS, así como registros de llamadas y extraer información del dispositivo como el nombre del dispositivo y Datos de almacenamiento. Además, el malware puede ocultarse ocultando su icono en la lista de dispositivos.

Este malware se ejecuta en Firebase Command and Control (C&C) cuando se instala desde una tienda de aplicaciones de terceros que no es de Google, que aparece bajo los nombres “Actualizar” y “Actualizar todos los datos”. Para mejorar su sentido de legitimidad, la aplicación contiene información de funciones como la presencia de WhatsApp, el porcentaje de batería, las estadísticas de almacenamiento, el tipo de conexión a Internet y el token del servicio de mensajería de Firebase. Una vez que el usuario elige “actualizar” la información existente, la aplicación se infiltra en el dispositivo afectado. Tras la implementación, C&C recibe todos los datos relevantes, incluido el token de Firebase recién creado.

Mientras que la conexión de Firebase realiza los comandos necesarios, el servidor de control y comando dedicado usa la solicitud POST para recopilar los datos robados. Las acciones notables que conducen a la extracción por aplicación incluyen agregar un nuevo contacto, instalar una nueva aplicación a través del servidor contentObserver para Android o recibir un nuevo SMS.


Las configuraciones de nube inseguras exponen datos en miles de aplicaciones móviles


más información:
Yaswant, prof. “Un nuevo malware avanzado de Android se hace pasar por una“ Actualización del sistema ”. Blog de seguridad móvil de Zimperium, Zimperium, 26 de marzo de 2021, disponible aquí. blog.zimperium.com/new-advance… ng-as-system-update /

© 2021 Science X Network

La frase: Un nuevo malware avanzado de Android que representa una actualización del sistema (2021, 28 de marzo) se recuperó el 28 de marzo de 2021 de https://techxplore.com/news/2021-03-advanced-android-malware-posing.html

Este documento está sujeto a derechos de autor. A pesar de cualquier trato justo con el propósito de estudio o investigación privada, ninguna parte puede ser reproducida sin permiso por escrito. El contenido se proporciona únicamente con fines informativos.

READ  El inicio de las devoluciones de precios con las fuentes puede quedar fuera de seguimiento cuando las multitudes regresan Las carreras de caballos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *