התגלה וירוס חדש לאנרואיד
חוקרי קספרסקי איתרו נוזקה חדשה לאנדרואיד שמתחפשת לאנטי וירוס חינמי לגיטימי
הגנה לישראל
| 19/05/2011
חוקרי קספרסקי איתרו נוזקה חדשה לאנדרואיד שמתחפשת לאנטי וירוס חינמי לגיטימי. מחקר מעמיק גילה שיתכן ומאחוריה עומדת טכנולוגיה שפיתחה כנופיית האקרים שפרצה בעבר לנאס"א, אמזון ו-3.6 מיליון מחשבים בארה"ב.
ברביעי ביוני איתרו מומחי קספרסקי שלושה קבצי התקנה לאנדרואיד (APK) שמערכות המעבדה שייכו לסוס הטרויאני Zitmo. שלושת האפליקציות הכילו קוד זדוני ותוכננו על ידי האקרים לגניבת הודעות SMS ממכשירים שנפרצו. ההודעות הגנובות היו מועברות אל כתובת URL מוצפנת שהוסתרה בקוד הזדוני עצמו. מומחי מעבדת קספרסקי מצאו שלושה קבצים נוספים כאלה גם בשמיני לחודש, ב-13 וב-14. לפיכך, יש לפחות שש אפליקציות באנדרואיד מרקט שמתחפשות לאנטי וירוס פרימיום למערכת ההפעלה הפופולרית, כשלמעשה נועדו לגנוב מידע מהמשתמש.
לאחר הורדת ה"אנטי וירוס" יופיע אייקון של מגן כחול במסך האפליקציות במכשיר, בשם "Android Security Suite Premium". לאחר ההפעלה הראשונה יוצג מסך ובו "קוד הפעלה", כפי שמציגות אפליקציות לגיטימיות לעיתים. נקודה חשובה נוספת בנוזקות אלו היא היכולת שלהן לקבל פקודות מרחוק לגניבת מידע ספציפי, הפעלה או נטרול של הקוד הזדוני ואפילו "השמדה עצמית" מרחוק.
חוקרי המעבדה גילו שמאחורי האנטי וירוס המזויף עומד משהו חריג. במבט ראשון, רשימת שרתי השליטה ובקרה (C&C) של הנוזקה לא נראתה יוצאת דופן, אולם אחד השרתים הכיל שמות דומיין שמקושרים לנוזקת Zeus – סוס טרויאני שתקף מערכות רבות בשנים 2007-2009 ואף פרץ את מחשבי נאסא, Bank of America, סיסקו, אמזון וחברות ענק אחרות. בסך הכל, פרצו גרסאות Zeus יותר מ-3.6 מיליון מחשבים בארצות בארצות הברית לבדה. השרת שאותר לאחרונה מוצפן ורשום באותה דרך בה הצפינו מפעילי Zeus את הקוד הזדוני. הנוזקה החדשה מתפקדת בדומה ל-Zitmo, נוזקה שגנבה מידע ממכשירי אנדרואיד והופעלה על ידי כנופיית ההאקרים שהפעילה את Zeus.
חוקרי קספרסקי איתרו נוזקה חדשה לאנדרואיד שמתחפשת לאנטי וירוס חינמי לגיטימי. מחקר מעמיק גילה שיתכן ומאחוריה עומדת טכנולוגיה שפיתחה כנופיית האקרים שפרצה בעבר לנאס"א, אמזון ו-3.6 מיליון מחשבים בארה"ב.
ברביעי ביוני איתרו מומחי קספרסקי שלושה קבצי התקנה לאנדרואיד (APK) שמערכות המעבדה שייכו לסוס הטרויאני Zitmo. שלושת האפליקציות הכילו קוד זדוני ותוכננו על ידי האקרים לגניבת הודעות SMS ממכשירים שנפרצו. ההודעות הגנובות היו מועברות אל כתובת URL מוצפנת שהוסתרה בקוד הזדוני עצמו. מומחי מעבדת קספרסקי מצאו שלושה קבצים נוספים כאלה גם בשמיני לחודש, ב-13 וב-14. לפיכך, יש לפחות שש אפליקציות באנדרואיד מרקט שמתחפשות לאנטי וירוס פרימיום למערכת ההפעלה הפופולרית, כשלמעשה נועדו לגנוב מידע מהמשתמש.
לאחר הורדת ה"אנטי וירוס" יופיע אייקון של מגן כחול במסך האפליקציות במכשיר, בשם "Android Security Suite Premium". לאחר ההפעלה הראשונה יוצג מסך ובו "קוד הפעלה", כפי שמציגות אפליקציות לגיטימיות לעיתים. נקודה חשובה נוספת בנוזקות אלו היא היכולת שלהן לקבל פקודות מרחוק לגניבת מידע ספציפי, הפעלה או נטרול של הקוד הזדוני ואפילו "השמדה עצמית" מרחוק.
חוקרי המעבדה גילו שמאחורי האנטי וירוס המזויף עומד משהו חריג. במבט ראשון, רשימת שרתי השליטה ובקרה (C&C) של הנוזקה לא נראתה יוצאת דופן, אולם אחד השרתים הכיל שמות דומיין שמקושרים לנוזקת Zeus – סוס טרויאני שתקף מערכות רבות בשנים 2007-2009 ואף פרץ את מחשבי נאסא, Bank of America, סיסקו, אמזון וחברות ענק אחרות. בסך הכל, פרצו גרסאות Zeus יותר מ-3.6 מיליון מחשבים בארצות בארצות הברית לבדה. השרת שאותר לאחרונה מוצפן ורשום באותה דרך בה הצפינו מפעילי Zeus את הקוד הזדוני. הנוזקה החדשה מתפקדת בדומה ל-Zitmo, נוזקה שגנבה מידע ממכשירי אנדרואיד והופעלה על ידי כנופיית ההאקרים שהפעילה את Zeus.
