SIKKERHET

Farlig Android-skadevare kan gi hackere full tilgang til alt som skjer på mobilen din

Sikkerhetsforskere har oppdaget nye trusler for mobilbrukere.

Ny, farlig Android-skadevare er på ferde, sier sikkerhetsselskapet Check Point.
Ny, farlig Android-skadevare er på ferde, sier sikkerhetsselskapet Check Point. Illustrasjonsfoto: Colourbox/27204020
13. jan. 2021 - 19:00

Truslene på nettet blir stadig flere og mer alvorlige, og mobilbrukere er også i økende grad attraktive mål for ondsinnede aktører. Nå rapporterer sikkerhetsforskere om en ny, farlig skadevare til Android-plattformen, skriver Forbes.

IT-sikkerhetsselskapet Check Point publiserte nylig en rapport hvor de omtaler en skadevare-familie ved navn Rogue, en type RAT-programvare (remote access trojan) som retter seg spesifikt mot Android.

En haug med ferdigheter

Programvaren ble oppdaget av sikkerhetsselskapet på det «mørke» nettet, hvor en trusselaktør som kaller seg Triangulum aktivt har markedsført og solgt ulike utgaver av programvaren i lengre tid og opparbeidet seg høy status. Aktøren skal ifølge Check Point besitte solide tekniske ferdigheter.

Rogue-skadevaren har mange ulike egenskaper som gjør den til en potensielt stor sikkerhets- og personverntrussel for brukere.

– Rogue-familien er en MRAT (mobile remote access trojan, red.anm.). Denne type skadevare kan skaffe seg kontroll over vertsenheten og hente ut en hvilken som helst type data (bilder, lokasjon, kontakter, meldinger etc.), modifisere filene på enhetene, laste ned øvrig programvare og alt mulig annet man kan komme på, skriver sikkerhetsselskapet.

Check Point har publisert en lengre liste over skadevarens ferdigheter, som inkluderer mulighet til å ta bilder og video med enhetens kamera, og ta bilder og video av enhetens egen skjerm. Den kan også starte oppringninger og sende meldinger, og ta opp både innkommende og utgående samtaler.

Holder seg skjult

Skadevaren fungerer ved å skaffe seg nødvendige privilegier på mobilen, og om dette ikke lykkes vil programvaren aktivt forespørre privilegier av brukeren. Deretter registrerer den seg som enhetsadministrator, og dersom brukeren forsøker å reversere denne tillatelsen vil det dukke opp meldinger konstruert for å avskrekke brukeren fra å gjøre dette.

Skadevaren holder seg skjult ved å gjemme ikonene, og samtidig bruker den en legitim tjeneste – Google Firebase – til å kamuflere kommunikasjonen med «command & control»-serveren.

Kommandoene som kontrollerer skadevaren, samt all informasjonen som stjeles av programvaren, leveres via Firebase sin infrastruktur, forklarer sikkerhetsforskerne. Google Firebase er en plattform for utvikling av web- og mobilapplikasjoner.

Rogue er også i stand til å registrere virtuelle miljøer, en egenskap som kan brukes til å forsinke eller avbryte ondsinnede aktiviteter.

En talsperson for Check Point uttalte overfor Forbes at flere hundre tusen mobiler trolig er blitt infisert med programvaren hittil, men at dette tallet kommer til å vokse raskt, blant annet på grunn av den aktive markedsføringen av produktet.

Siden det er opptil «kundene» som skaffer seg skadevaren å avgjøre infeksjonsmetoden sprer Rogue seg på flere ulike måter, blant annet gjennom applikasjoner i app-butikker og phishing-angrep.

Mer informasjon om skadevaren finner du hos Check Point.

Den nye skadevaren skal være i stand til å komme seg rundt Googles Authenticator-løsning.
Les også

Kommer seg rundt 2FA-verifisering: Ny Android-skadevare kan stjele engangskoder

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.