Amenințare imensă pentru Android: virusul ascuns printr-o metodă inedită

de: George Stanciu
19 01. 2019

Google Play încă are de-a face cu aplicații infectate cu malware, iar cea mai recentă descoperire este destul de ingenioasă când vine vorba de a se ascunde.

Cel mai nou malware descoperit în Google Play se folosește de mișcările telefonului tău pentru a acționa. Acesta monitorizează senzorul de mișcare de pe dispozitivul infectat, înainte să instaleze un troian, astfel încât să se asigure că acesta nu se instalează pe un emulator folosit tocmai pentru a detecta viruși.

Ideea este că senzorii din dispozitive folosite în mod normal înregistrează constant mișcări. Pe de altă parte, cei din telefoane folosite pentru cercetare nu au parte de asta, deoarece dispozitivele nu pleacă mai departe de biroul celor care lucrează cu ele.

Două aplicații din Google Play, care conțineau malware-ul de banking Anubis, verificau dacă dispozitivul înregistrează mișcare înainte ca virusul să fie instalat. În caz contrar, acesta nu era activat.

Detectarea mișcărilor nu era singurul avantaj al aplicațiilor malițioase. Odată ce Anubis era instalat pe telefon, virusul folosea cereri și răspunsuri pe Twitter și Telegram, pentru a localiza severul de comandă și control necesar.

Dacă aplicația găsește serverul potrivit, atunci încărcătura Anubis este livrată în fundal. Apoi, utilizatorii sunt îndrumați să instaleze virusul chiar cu ajutorul unui ecran fals de update de sistem, așa cum se vede în imaginea de mai jos.

Odată ce Anubis este instalat, folosește un keylogger încorporat pentru a fura datele de logare pe care le tastezi atunci când intri într-un cont pe telefon. Malware-ul poate să obțină informații și cu ajutorul screenshot-urilor făcute ecranului, în mod discret. Un cercetător în securitate a arătat și o imagine cu o mică parte dintre țintele acestui malware.