Check Point Research, výzkumný tým společnosti Check Point Software Technologies, odhalil dvojici hackerů, kteří vyvíjí a prodávají na dark netu mobilní malware.
Hackeři s přezdívkami Triangulum a HeXaGoN Dev navíc podle expertů vytvořili nový malware Rogue, který umožňuje převzít kontrolu nad napadeným zařízením a krást data, jako fotografie, informace o poloze, kontakty a zprávy.
Zatímco Triangulum se podle Check Pointu více zaměřuje na marketing prodej hrozeb na dark netu, HexaGoN Dev se věnuje technickému vývoji malwarových hrozeb pro Android. I proto tato spolupráce představuje vážnou hrozbu.
Rogue: „Opravdu chcete smazat všechna data?“
Rogue je součástí rodiny MRAT (Mobile Remote Access Trojan) a může získat kontrolu nad napadeným zařízením a krást jakákoli data, jako jsou fotografie, poloha, kontakty a zprávy, upravovat soubory v zařízení a stahovat další škodlivý obsah.
Jakmile Rogue získá všechna požadovaná oprávnění, skryje svou ikonu před uživatelem, aby na sebe neupozorňoval a nebylo tak snadné ho odstranit. Pokud nejsou udělena všechna požadovaná oprávnění, bude uživatele opakovaně žádat o jejich udělení.
Malware se podle bezpečnostních expertů následně registruje jako správce zařízení a pokud se uživatel pokusí oprávnění odebrat, zobrazí se na obrazovce zpráva: „Opravdu chcete smazat všechna data?“
Aby zamaskoval své zákeřné úmysly a mohl se vydávat za legitimní službu Google, využívá platformu Firebase, tedy služby Google pro aplikace. Konkrétně se jedná o C&C server, takže všechny příkazy, které ovládají malware, a všechny informace ukradené malwarem, jsou doručovány pomocí infrastruktury Firebase.
Slevové akce jako v reálném světě
„Prodejci mobilního malwaru jsou velmi vynalézaví,“ říká Petr Kadrmas, security engineer Eastern Europe v kyberbezpečnostní společnosti Check Point.
Na dark netu si tak podle něj může kdokoli relativně snadno koupit nějakou hrozbu a stát se kyberzločincem, aniž by to vyžadovalo nějaké speciální technické znalosti. Hackeři nabízí i nejrůznější balíčky, slevy a podporu a kopírují tak klasické prodejní akce.
„Snažíme se rozkrývat vývoj malwaru i taktiky hackerů a zároveň varovat organizace i uživatele a ukázat, jak těžké je nyní efektivně sledovat, klasifikovat a chránit se před všemi hrozbami,“ dodává Kadrmas.
