Wykryto pierwszy malware Android atakujący mobilne urządzenia z sieci TOR
-
- Janusz Chustecki,
- 26.02.2014, godz. 10:55
Informatycy z Kaspersky Lab wykryli szkodliwe oprogramowanie (malware), które wykorzystuje sieć TOR do atakowania mobilnych urządzeń pracujących pod kontrolą systemu operacyjnego Android. To pierwszy tego typu przypadek, gdyż do tej pory sieć ta była wykorzystywana wyłącznie do atakowania komputerów Windows.
TOR (The Onion Router) jest siecią komputerową stworzoną z myślą o zapewnianiu jej użytkownikom jak największego poziomu anonimowości. Sieć wykorzystuje tzw. routery „cebulowe”, które obsługują całą komunikację między użytkownikami i serwerami TOR. Dlatego identyfikacja użytkowników korzystających z usług tej sieci jest bardzo trudna, niekiedy wręcz niemożliwa.
Kaspersky Lab wykrył, że malware Android wykorzystuje jedną z witryn TOR jako serwer „command-and-control”. Serwery takie wyszukują w sieci komputery podatne na ataki (to znaczy takie, w których znajdują się dziury) i instalują w ich pamięci eksploity. To szkodliwe programy, które wykradają z komputerów poufne informacje i odsyłają je z powrotem do serwera „command-and-control”.
Zobacz również:
- Użytkownicy Androida mogą się wkrótce zdziwić
- Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
- Co trzecia firma w Polsce z cyberincydentem
Szkodliwe programy malware atakujące komputery Windows, pochodzące z sieci TOR, są znane od dawna. Jednak do tej pory sieć ta nie była nigdy używana do atakowania mobilnych urządzeń. Odkrycie informatyków z Kaspersky Lab pokazuje, że cyberprzestępcy sięgają po coraz to bardziej wyrafinowane metody atakowania takich urządzeń.
Malware przechwytuje wiadomości tekstowe (SMS) oraz inne poufna dane (np. książki adresowe) znajdujące się w pamięci mobilnego urządzenia. Potrafi też odczytać numer IMEI smartfona czy zażądać danych GPS, o ile urządzenie wspiera taką funkcjonalność .
Malware (któremu Kaspersky Lab nadał nazwę Backdoor.AndroidOS.Torec.a) atakuje urządzenia mobilne używając do tego celu oprogramowanie Orbot. To narzędzie opracowane swego czasu w ramach inicjatywy TOR, pozwalające instalować na urządzeniach Android aplikacje TOR. Backdoor.AndroidOS.Torec.a nie udaje oprogramowania Orbot, po to aby zdezorientowany użytkownik próbował je pobrać. Wykorzystuje jedynie pewne funkcjonalności wspierane przez klienta Orbot.
Witryna Malwarebytes donosi natomiast, że malware może funkcjonować pod nazwą
"Slempo" i jest wysoce prawdopodobne, że wchodzi w skład botnetu "Stoned Cat". Informatycy z Malwarebytes odkryli też, że botnet "Stoned Cat" kosztuje na nielegalnym rynku oprogramowania ok. 1000 USD.
Krajobraz nowych zagrożeń będzie jednym z tematów konferencji SEMAFOR 2014, która odbędzie się w dniach 27-28 marca 2014r.
