Eksperci ds. cyberbezpieczeństwa z BitDefendera odnaleźli zupełnie nowe zagrożenie wycelowane w urządzenia z systemem Android. Jak się okazuje - jest ono w stanie nagrywać rozmowy telefoniczne, a nawet uzyskiwać dostęp do plików w urządzeniu, m. in. do zdjęć.
Triout, bo tak nazwano niebezpieczne oprogramowanie jest aktywne mniej więcej od maja - na tę datę wskazują sporządzone już dzienniki jego aktywności w VirusTotal. Sposób zarażenia ofiary jest bardzo typowy dla tego typu zagrożeń: dystrybucja odbywa się za pomocą nieoficjalnych repozytoriów zawierających aplikacje dla systemu Android. Nierozważny użytkownik zwyczajnie pobierze paczkę .apk i zainstaluje ją na swoim telefonie doprowadzając do zainfekowania sprzętu szczególnie niebezpiecznym Triout.
Pierwsza próbka Triouta, która została umieszczona w VirusTotal pochodzi z Rosji, jednak podobne znaleziono także w Izraelu - tak przynajmniej wynika z technik geolokalizacyjnych. Badacze sądzą, że obszar działania nie jest przypadkowy i to właśnie Rosjanie mogą odpowiadać za jego wyprodukowanie - cyberprzestępcy z tego kraju od dawna są znani z chęci atakowania użytkowników systemu Android.
Jak wynika z ustaleń ekspertów, Triout dysponuje niemałym wachlarzem możliwości. Przede wszystkim jest w stanie nagrywać wszystkie rozmowy telefoniczne i wysyłać ich nagrania do zewnętrznego serwera. Dodatkowo, przechwytywane są takie informacje jak dziennik połączeń, wiadomości SMS, lokalizacja sprzętu, a nawet zrobione telefonem zdjęcia. Triout całkiem dobrze maskuje się ze swoimi działaniami przed wykryciem, przez co rozpoznanie infekcji jest szczególnie trudne - chyba, że urządzenie zostanie przeskanowane skanerem antywirusowym.
Jednak dla ekspertów nie okazał się on szczególnie trudny do analizy. Po rozpakowaniu pliku .apk zawierającego Triouta szybko uzyskano dostęp do kodu źródłowego zagrożenia, przez co szybko poznano jego możliwości. Co więcej - tego typu "niedopatrzenie" w kontekście zaawansowania opisywanego malware może wskazywać, że Triout w dalszym ciągu znajduje się w fazie "produkcji".
Podobnie jak i Triout, serwer służący do kontrolowania poczynań zagrożenia wydaje się być aktywny od maja tego roku. Na podstawie jego analizy nie udało się jednak ustalić dokładnie z kim tym razem mamy do czynienia.
Jak wykazują badacze, podstawową metodą przenikania Triouta do urządzeń z systemem Android jest instalacja plików .apk z zewnętrznych źródeł, poza sklepem Google Play. To powinien być jasny sygnał dla użytkowników - nieoficjalne repozytoria mogą być szczególnie niebezpieczne, jeżeli nie jesteśmy w stanie zweryfikować tożsamości twórcy programu. W tym momencie to szczególnie istotne - użytkownicy chętnie szukają w nich m. in. .apk wskazujących na Fortnite: to może zostać wykorzystane przez cyberprzestępców do tworzenia naprawdę skutecznych kampanii, w trakcie których zainfekowane zostanie sporo urządzeń.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
