Diventa Autore per CoreTech | Scopri di più
18/07/19 gatti News
Il programma malevolo è stato denominatoAndroid.Backdoor.736.origin. Si diffonde come applicazione OpenGL Plugin che sarebbe studiata per controllare la versione dell'interfaccia grafica OpenGL ES e caricare gli aggiornamenti.
All'avvioAndroid.Backdoor.736.originchiede l'accesso a diverse importanti autorizzazioni di sistema che gli consentiranno di raccogliere informazioni confidenziali e operare sul file system. Oltre a ciò, cerca di ottenere il permesso di visualizzazione di moduli di schermo sopra l'interfaccia di altri programmi.
Nella finestra dell'applicazione malevola c'è un pulsante per "controllare" gli aggiornamenti dell'interfaccia software grafica OpenGL ES. Al clic sul pulsante, il trojan simula il processo di ricerca di nuove versioni OpenGL ES, però in realtà non esegue alcun controllo, solo fuorviando l'utente.
Dopo che la vittima chiude la finestra dell'applicazione,Android.Backdoor.736.origintoglie la sua icona dalla lista dei programmi del menu della schermata principale e crea una scorciatoia per il suo avvio. Questo è fatto al fine di rendere più difficile per l'utente la rimozione del trojan in quanto la rimozione della scorciatoia non avrà impatto sul programma malevolo stesso.
Android.Backdoor.736.originè costantemente attivo in background e può essere avviato non solo attraverso l'icona o la scorciatoia, ma anche automaticamente all'avvio del sistema e sulla base di un comando impartito dai malintenzionati attraverso Firebase Cloud Messaging. Le funzionalità malevole principali sono locate in un file ausiliario che è criptato ed è conservato nella directory delle risorse del programma. Viene decriptato e caricato nella memoria a ogni avvio diAndroid.Backdoor.736.origin.
Il backdoor comunica con più server di controllo da cui riceve i comandi dei malintenzionati e su cui invia i dati raccolti. Oltre a ciò, i criminali informatici possono gestire il trojan attraverso il servizio Firebase Cloud Messaging.Android.Backdoor.736.originpuò eseguire le seguenti azioni:
Il trojan cripta tramite l'algoritmo AES tutti i dati trasmessi sul server. Ogni richiesta viene protetta da una chiave univoca generata in base all'ora corrente. La risposta del server viene criptata dalla stessa chiave.
Android.Backdoor.736.originè in grado di installare applicazioni in più modi:
Dunque, questo backdoor rappresenta un serio pericolo. Non solo si occupa di spionaggio informatico, ma può anche essere utilizzato per il phishing in quanto è in grado visualizzare finestre e notifiche con qualsiasi contenuto. Oltre a ciò, può scaricare e installare qualsiasi altra applicazione malevola, nonché eseguire codice arbitrario. Ad esempio, su comando dei malintenzionati,Android.Backdoor.736.originpuò scaricare ed eseguire un exploit per ottenere i permessi di root, dopo di che non avrà più bisogno di intervento da parte dell'utente per installare altri programmi.
Doctor Web ha informato Google sul trojan, e al momento della pubblicazione di questo materiale esso era già rimosso da Google Play.
Android.Backdoor.736.origine i suoi componenti vengono rilevati e rimossi in maniera sicura dai prodotti antivirus Dr.Web per Android, pertanto, esso non rappresenta alcun pericolo per i nostri utenti.
#Android,#backdoor,#Google_Play,#spionaggio