TangleBot, czyli nowe zagrożenie dla użytkowników Androida. Najgroźniejszy trojan w historii?
Branżowi specjaliści zajmujący się cyberbezpieczeństwem odkryli niedawno nowe złośliwe oprogramowanie na Androida, które nazwali TangleBot. Malware ten jest wysoce wyrafinowany i po jego implementacji telefon staje się idealnym narzędziem szpiegowania użytkownika.
Badacze Proofpoint, którzy zidentyfikowali to zagrożenie, informują, że TangleBot atakuje użytkowników urządzeń z Androidem, wysyłając wiadomości tekstowe (na razie wiemy tylko o przypadkach w USA i Kanadzie). Te są zamaskowane jako przepisy w zakresie Covid-19, informacje o szczepieniach przypominających, a także związane z potencjalnymi przerwami w dostawie prądu i zachęcają ofiary do kliknięcia w link do strony. Tam użytkownicy dowiadują się zaś, że wymagana jest aktualizacja Adobe Flash i jeśli tylko wybiorą okna dialogowe, szkodliwa strona zainstaluje malware na smartfonie.
Atakujący bazują na niewiedzy użytkowników, którzy nie zdają sobie sprawy z tego, że Adobe zaprzestało obsługi Flasha w grudniu 2020 r., a od 2012 r. nie jest on obsługiwany na urządzeniach mobilnych. Jeśli uda się nabrać ofiarę, TangleBot może przejąć niemal całkowitą kontrolę nad telefonem - oprogramowanie może nadzorować dźwięk i obraz z mikrofonu i kamery, przeglądać odwiedzane strony internetowe, uzyskiwać dostęp do kolekcji wpisanych haseł, wydobywać dane z aktywności SMS-ów i wszelkiej zawartości przechowywanej na urządzeniu.
TangleBot może również przyznać sobie uprawnienia do modyfikowania ustawień konfiguracyjnych urządzenia i umożliwić atakującym przeglądanie danych o lokalizacji GPS. Funkcjonalność zdobyta przez hakerów zasadniczo zapewnia więc pełną kontrolę i możliwości gromadzenia danych.
Zagrożenie posiada kilka kluczowych cech wyróżniających, które czynią je szczególnie niebezpiecznym, w tym zaawansowane zachowania, możliwości transmisji i procedurę deszyfrowania ciągów w celu zaciemnienia. Oprócz możliwości spyware i keyloggera, malware może blokować i nawiązywać połączenia, co nieuchronnie prowadzi do możliwości wybierania usług premium. Tymczasem możliwości biometrycznej identyfikacji głosowej można wykorzystać do podszywania się pod ofiarę. W raporcie zauważono, że poziom złożoności zaobserwowany w TangleBot wyróżnia się spośród innych form złośliwego oprogramowania.
- Cechy związane z funkcją keyloggera, zdolnością nakładki i eksfiltracją danych są rutynowymi zachowaniami w każdym arsenale złośliwego oprogramowania, jednak TangleBot wyróżnia się zaawansowanymi zachowaniami i możliwościami transmisji, prezentując jednocześnie najnowsze ewolucje malware, próbującego udaremnić biometryczne zabezpieczenia uwierzytelniania głosowego. Ostatnim elementem TangleBota, którego nie widziano w oryginalnej Meduzie, jest zaawansowane wykorzystanie procedury deszyfrowania ciągów znaków, która pomaga zaciemniać i ukrywać zachowanie złośliwego oprogramowania - tłumaczą badacze.
Najnowocześniejsza technologia wykorzystywana do ukrywania celu i funkcjonalności trojana pod wieloma warstwami zaciemniania doprowadziła do nazwy TangleBot. Metody te obejmują ukryte pliki .dex, modułową i funkcjonalną charakterystykę projektu, zminimalizowany kod i duże ilości nieużywanego kodu. Warto zauważyć, że złośliwe oprogramowanie na Androida staje się coraz powszechniejsze i smartfon może zostać narażony nie tylko za pośrednictwem wiadomości tekstowych. Malware GriftHorse został pomyślnie osadzony w aplikacjach oficjalnie zatwierdzonych w Google Play i innych sklepach z aplikacjami, co pozwoliło mu zainfekować ponad 10 milionów urządzeń i ukraść dziesiątki milionów dolarów. Jest to niepokojący obraz Androida, co potwierdzają zresztą badacze zajmujący się TangleBot.
- Jeśli ekosystem Androida pokazał nam cokolwiek tego lata, to jest to krajobraz Androida pełen sprytnej inżynierii społecznej, jawnych oszustw i złośliwego oprogramowania, które mają na celu oszukiwanie i kradzież pieniędzy użytkowników mobilnych i innych poufnych informacji. Te schematy mogą wydawać się dość przekonujące i mogą grać na lękach lub emocjach, które powodują, że użytkownicy tracą czujność - czytamy w oświadczeniu badaczy. Mówiąc krótko, zapewne nie przyjdzie nam długo czekać na dotarcie tego trojana do naszego kraju, w tej czy innej formie, więc przypominamy - dbajmy o swoje bezpieczeństwo w sieci i nie klikajmy w żadne podejrzane linki, a w razie wątpliwości sprawdzajmy, czy w internecie nie ma ostrzeże czy informacji o podobnych wiadomościach.
