Skadevare har for lengst begynt å gjøre seg gjeldende også på de mobile plattformene, og nå har nok en ubuden gjest inntatt Android-universet. Det rapporterer blant andre nettstedet ZDNet.
Det finske sikkerhetsselskapet F-Secure har nå analysert en Android-skadevare døpt Spynote, som blant annet er i stand til å ta opp telefonsamtaler fra mobilen – og stjele mange ulike typer data.
Spres via «smishing»
Digi.no omtalte Spynote allerede i januar i år, da det nederlandske sikkerhetsselskapet Threatfabric advarte at skadevaren var i ferd med å øke kraftig i omfang.
På det tidspunktet sa ikke Threatfabric så mye om hvordan denne Android-skadevaren sprer seg, men ifølge F-Secures analyser viser det seg at den spres primært via såkalt «smishing» – ondsinnede SMS-meldinger som ber mottakeren om å laste ned programvaren via en lenke.
Som navnet antyder er Spynote en type spionvare, men som sikkerhetsforskerne påpeker tar denne programvaren spionasjen til et nytt nivå. Det gjør den først og fremst ved å ta opp innkommende telefonsamtaler, som den lagrer som .wav-filer og laster opp til kommandoserveren (C2) som kontrolleres av bakmennene.
Skadevaren er også i stand til å ta bilder av innholdet på mobilen, som den også lagrer som .jpg-filer og laster opp til C2-serveren. I tillegg har den «keylogging»-egenskaper som registrerer tastetrykkene til brukeren og lagrer disse, en egenskap mange spionvarevarianter besitter.
Ondsinnede utgaver av Signal og Telegram sprer skadevare som kan spionere på meldingene dine
Holder seg skjult
Ifølge F-Secure utfører Spynote mange av handlingene sine ved å utnytte Androids tilgjengelighetstjenester (accessibility services) til å gi seg selv en rekke tillatelser og privilegier på offerets mobil. Dette skjer ved å simulere brukerens godkjennelse, i stedet for å vente på den faktiske godkjennelsen.
Den ondsinnede programvaren benytter også diverse teknikker for å holde seg skjult og vanskelig å oppdage på mobilen, sier forskerne.
Spynote gjemmer selve app-ikonet, slik at brukeren må klikke seg inn på app-menyen under innstillingene for å finne programmet. Den skjuler også aktiviteten sin fra skjermen som viser de nylig brukte appene.
Siden appen er skjult kan brukeren altså ikke slette den via den konvensjonelle metoden hvor man «langklikker» på appen. Den andre metoden, sletting via appmenyen, er også vanskelig siden skadevaren er i stand til å lukke menyskjermen hver gang brukeren navigerer til appen via innstillingene.
Fabrikk-omstart ofte nødvendig
En annen teknikk som gjør skadevaren svært vanskelig å bli kvitt er at registrerer en såkalt sendingsmottaker (broadcast receiver) – som er komponenter Android bruker til å respondere på hendelser, for eksempel innkommende samtaler. F-Secure opplyser at Spynote registrerer en unik sendingsmottaker kalt «RestartSensor», som fungerer ved å starte opp igjen skadevarens tjenester straks de stenges ned.
Som et resultat av disse teknikkene sier sikkerhetsselskapet at ofrene ofte ikke har andre muligheter enn å foreta en tilbakestilling til fabrikkinnstillingene, som fører til tap av alle data.
Det er uvisst akkurat hor utbredt omfanget av Spynote for tiden er, men skadevaren føyer seg uansett inn i rekken av en rekke andre funn som er gjort på Android-plattformen den siste tiden (krever abonnement).
Sikkerhetsselskap: – Dette er den mest utbredte skadevaren i Norge
