Nowy malware na Androida jeszcze bardziej niebezpieczny

Użytkownicy systemu Android nie mają lekko. Jakiś czas temu pisaliśmy o Cerberusie – złośliwym oprogramowaniu, które skupiało się na m.in. aplikacjach bankowych. Teraz badacze twierdzą, że ponad pół roku temu do gry wszedł Alien, który ma być pochodną właśnie Cerberusa. Zauważyli jednak dość dużą różnicę między nimi – Alien jest o wiele bardziej niebezpieczny, bo jest w stanie wykraść klucze weryfikacji dwuetapowej.

Reklama

Android znów na celowniku – jak działa Alien?

W jaki sposób to robi? Przede wszystkim ma dostęp do SMS-ów i powiadomień ofiary. Może również ściągnąć złośliwą wersję TeamViewera – aplikacji służącej do obsługi zdalnej – i uzyskać kontrolę nad urządzeniem ofiary. Warto jednak zauważyć, że na niektórych urządzeniach opcja dostępu zdalnego może nie działać – i wówczas atakujący jedynie widzą, co dzieje się na ekranie ofiary, ale nie mogą podjąć żadnych działań.

Malware może podszywać się również pod inne programy i wykradać dane logowania – na liście widnieje ponad 200 aplikacji, wśród których znajdują się nie tylko te służące do bankowości mobilnej, lecz także m.in. komunikatory, jak Telegram czy klient Outlooka. W połączeniu ze wspomnianą możliwością wykradania kodów weryfikacji dwuetapowej, hakerzy mogą uzyskać pełen dostęp do kont ofiary i następnie albo wykonać złośliwe operacje albo nasłuchiwać i czekać na odpowiedni moment. Dodatkowo Alien może też działać jako keylogger (rejestrować to, co pisze użytkownik) oraz zbierać informacje o lokalizacji zainfekowanego urządzenia.

Reklama
Android

Malware Alien na Androida – kto jest zagrożony?

Jak już wspomnieliśmy na wstępie, Alien nie działa regionalnie i jego obecność stwierdzono m.in. w Ameryce Północnej, Europie i Australii. Na liście polskich aplikacji „obsługiwanych” przez wirusa znajdują się m.in. te mBanku czy IKO od PKO.

Badacze nie są pewni jaki jest dokładny sposób rozprzestrzeniania się wirusa na Androidzie. Mając jednak na uwadze to, że kod Aliena jest prawdopodobnie sprzedawany wielu grupom hakerskim, należy się spodziewać różnych technik, jak np. używanie aplikacji trzecich czy phishing.

Następnym krokiem w przypadku Aliena może być np. pełna automatyzacja procesów zbierania danych. Analitycy przewidują też więcej podobnych malware w przyszłości i przestrzegają, aby uważać na to, co instaluje się na swoim urządzeniu.

  1. Ale co wy piszecie o kluczach weryfikacji dwuetapowej jak chodzi jedynie o odczytywanie SMS’ów z kodami jednorazowymi. Dopiero po poprawnej weryfikacji serwer tworzy parę kluczy, które wykorzystuje klient do identyfikowania się. Ewentualnie to klient tworzy parę kluczy i przesyła ten publiczny na serwer. Tego ten malware nie wykradnie.

    1. Skoro czyta klawiaturę, to ma login i password do usług, jak w usłudze masz 2FA za pomocą SMS, to włamywacz dostanie i te dane potrzebne mu do zdalnego zalogowania na Twoje konta.
      Co z tego, że masz logowanie parą kluczy (które mogą być w sprzętowym keystore, czyli nie do wyciągnięcia nawet z roota) i normalnie nie musisz podawać hasła, wystarczy, że Cię zdalnie wylogują i zalogujesz się jeszcze raz podając hasło i… już mają dane niezbędne do zalogowania się na Twoje konto przy pomocy swojego urządzenia (oczywiście taka konieczność zalogowania się powinno obudzić czujność, ale 90% ludzi pomyśli, że to jakaś aktualizacja czy coś w tym stylu i się zaloguje).

      1. Czyta klawiaturę z własnej aplikacji, gdyż podszywa się pod inne.

        Ale oczywiście twoja interpretacja nie jest błędna. W sumie to ten malware może wykradać klucze służące do wykonania 2FA. Tyle, że jedynie w przypadku stosowania SMS’ów, czego ja już od dłuższego czasu nie robię. Z tego powodu pomyślałem, że wykorzystuje jakiś błąd Androida do podkradania danych z innych aplikacji, a tutaj nie mamy doczynienia z takim przypadkiem.

        1. Też nie używam SMS-ów do 2FA, ale to my :D Większość ludzi nie korzysta z jakiegokolwiek 2FA a nawet stosują takie same (lub bardzo podobne) hasła do różnych usług :D
          Niestety stosunkowo mało serwisów obsługuje klucze sprzętowe U2F (poza „gigantami” takimi jak Google, Facebook itd. praktycznie nikt).

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Reklama