Dalam beberapa minggu kebelakangan ini, penyelidik Zimperium zLabs menunjukkan konfigurasi awan yang tidak selamat – di mana ia mendedahkan data pengguna di ribuan aplikasi Android dan iOS yang sah.
zLabs menasihatkan pengguna Android mengenai satu aplikasi Android baru yang pintar dan berniat jahat.
Perisian malware terbaru ini berbentuk aplikasi System Update yang dicipta untuk mencuri data, gambar, mesej dan rampasan kawalan ke atas keseluruhan telefon Android.
Setelah mengambil alih kawalan, penyerang akan dapat merakam panggilan audio dan telefon, melihat sejarah pelayar web (whops!), mengambil gambar dan mengakses mesej WhatsApp, antara pelbagai aktiviti yang lain lagi.
Penyelidik zLabs menemui aplikasi hasad System Update setelah mengesan aplikasi yang ditandai oleh enjin malware z9.
Setelah menjalankan siasatan, Zimperium zLabs mendapati bahawa ia merupakan kempen perisian pengintipan dengan kemampuan yang kompleks. Pihak Zimperium juga mengesahkan dengan Google bahawa aplikasi tersebut tidak pernah ada di Google Play Store.
Dengan senarai kemampuan kompromi yang luas, perisian hasad ini dapat;
- Mencuri mesej dari sistem pemesejan segera dan fail pangkalan data menggunakan root.
- Memeriksa penanda halaman dan carian penyemak imbas lalai, memeriksa penanda buku (bookmarks) dan sejarah carian dari pelayar web Google Chrome, Mozilla Firefox dan Samsung.
- Mencari fail dengan sambungan khusus seperti .doc, .docx, .pdf, .xls dan .xlsx.
- Memeriksa data papan keratan (clipboard) dan kandungan notifikasi.
- Mengambil foto berkala melalui kamera depan atau belakang.
- Melihat aplikasi yang dipasang.
- Mencuri gambar dan video.
- Memantau melalui GPS.
- Mencuri senarai kenalan telefon dan mesej SMS serta log panggilan.
- Mengekstrak maklumat peranti seperti nama peranti dan data simpanan.
Tambahan lagi, perisian hasad ini boleh ‘menyembunyikan kewujudan dirinya’ dengan menyembunyikan ikon dari menu peranti.
Malware ini berfungsi dengan cara bergerak dalam Firebase Command and Control (C&C) semasa pemasangan dari kedai aplikasi pihak ketiga (bukan Google Play Store), yang disenaraikan di bawah nama ‘update‘ dan ‘refreshAllData‘.
Untuk meningkatkan ciri kesahihannya, aplikasi ini mengandungi maklumat ciri asli seperti kewujudan aplikasi WhatsApp, peratusan bateri, statistik penyimpanan, jenis sambungan internet dan token perkhidmatan pesanan Firebase.
Setelah pengguna memilih untuk ‘mengemas kini’ maklumat yang ada, aplikasi ini akan menyusup ke peranti yang dijangkiti. Setelah menjangkitinya, C&C menerima semua data yang relevan, termasuk token Firebase yang baru dihasilkan.
Untuk mengumpul maklumat yang dicuri, satu pelayan C&C khas menggunakan ‘POST request‘
Komunikasi Firebase hanya digunakan untuk mengeluarkan perintah, manakala pelayan C&C khusus digunakan untuk mengumpul data yang dicuri dengan menggunakan ‘POST request‘.
Sumber: Zimperium
