Forside Baggrund

Snedig gemmeleg: Sådan undgik Android malware at blive opdaget

-
Malware blev installeret via en falsk systemopdatering, efter en snedig gemmeleg. Screenshot via Trend Micro

Sikkerhedsteam har opdaget en Android malware der på snedig vis skjulte sig for de gængse sikkerhedstjek.

I takt med at sikkerhedssystemerne bliver bedre til at opdage malware, så kræver det større list fra bagmændene at få den ondsindede kode ind på enhederne.

Sikkerhedsforskere fra Trend Micro har opdaget en ny snedig måde at skjule kendt malware på. Den var i hvert fald ny for dem.

Den ondsindede kode i spil var en kendt ‘trojansk hest’ med navnet Anubis der, når først installeret på Android-enheden, kan aflure bank- op betalingsoplysninger.

Annonce:

Denne gang var installationen skjult i de to Android-apps, BatterySaverMobi og Currency Converter. Altså en app der foregav at kunne forbedre batteritiden på mobilen og en valutaberegner.

BatterySaverMobi havde tilmed en høj rating i ‘Google Play’-butikken på 4,5 stjerner, formentlig opnået via falske brugeranmeldelser.

De to apps er en del af en familie af malware-apps der forbinder til en server på domænet aserogeege.space, hvorfra de henter koden og kontrolleres fra. Apps benytter et subdomæne der løbende skifter IP-adresse.

Trend Micro har registreret 6 skift af IP-adresser siden oktober 2018, så bagmændende forsøger aktivt at omgå blokade i DNS (navneservere), firewalls og antivirus mv.

 

Snedig omgåelse af sikkerhedstjek

Apps i ‘Google Play’-butikken tjekkes systematisk for ondsindede funktioner, men disse to apps anvendte en snedig metode til at undgå at blive opdaget.

De anvendte bevægelsessensoren i Android-telefonen til at vække den del af koden der installerede malware.

Sålænge der ingen bevægelse var, som der typisk ikke er i et testlaboratorie der moniterer telefoner over tid for hvad de enkelte apps laver i baggrunden, så forblev den ondsindede del af koden inaktiv.

Blev der derimod detekteret bevægelse så blev den ondsindede del vækket af sin ‘tornerosesøvn’ og præsenterede brugeren for en falsk systemopdatering til Android. Accepterede man denne opdatering ville selve malwaren blive hentet og installeret.

Udover at logge tastetryk og tage screenshots, for at få fingere i betalings- og bank-oplysninger, så er denne malware også i stand til at optage lyd, sende SMS, udføre opkald og tilgå filer. Forskere fra Quick Heal Technologies mener at denne trojaner også kan fungere som ransomware.

Disse malware-bærende apps nåede størst udbredelse i Japan og Australien inden de blev fjernet fra Google Play igen. Så risikoen for at lige disse ligger på en dansk Android smartphone er lille.

Trend Micro advarer dog mod at den seneste version af malware Anubis, som disse apps ville forsøge at installere, er spottet i 93 lande hvor de forsøger at aflure oplysninger fra 377 finansielle apps fra banker mv.

 

Annonce: