Link-2-Secure

Cybersecurity and data breach news

Nowe złośliwe oprogramowanie na Androida rozprzestrzeniające się poprzez WhatsApp

Wykryto nowe złośliwe oprogramowanie na Androida rozprzestrzeniające się poprzez WhatsApp

Uwaga – nowe złośliwe oprogramowanie na Androida rozprzestrzeniające się poprzez WhatsApp

Nowo odkryte złośliwe oprogramowanie na Androida zostało zidentyfikowane jako rozprzestrzeniające się poprzez wiadomości WhatsApp w formie spreparowanych wiadomości do innych kontaktów.

„Złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem WhatsApp ofiary poprzez automatyczne odpowiadanie na każde otrzymane powiadomienie o wiadomości WhatsApp z linkiem do fałszywej aplikacji Huawei Mobile zawierającej złośliwy kod” – opublikował we wpisie badacz ESET Lukas Stefanko.

Po kliknięciu w link do fałszywej aplikacji Huawei Mobile użytkownicy są przekierowywani na stronę przypominającą witrynę Google Play Store. Po zainstalowaniu, fałszywa aplikacja prosi ofiary o przyznanie jej dostępu do powiadomień, co umożliwia następnie przeprowadzenie ataku typu „wormable”.

Aplikacja wykorzystuje funkcję szybkiej odpowiedzi aplikacji WhatApp, która służy do odpowiadania na przychodzące wiadomości bezpośrednio z poziomu powiadomień, w celu automatycznego wysłania odpowiedzi na otrzymaną wiadomość.

Oprócz żądania uprawnień do odczytywania powiadomień, aplikacja żąda również dostępu do działania w tle, jak również do wyświetlania nad innymi aplikacjami, co oznacza, że może ona „nałożyć” na każdą inną aplikację działającą na urządzeniu własne okno, które może być wykorzystane do kradzieży danych uwierzytelniających i innych poufnych informacji (np. danch do logowania do banku).

W swojej obecnej wersji, złośliwy kod jest w stanie wysyłać automatyczne odpowiedzi tylko do kontaktów WhatsApp – funkcja, która może być potencjalnie rozszerzona w przyszłej aktualizacji na inne aplikacje do obsługi wiadomości, które obsługują funkcję szybkiej odpowiedzi w systemie Android.

Podczas gdy wiadomość jest wysyłana tylko raz na godzinę do tego samego kontaktu, treść wiadomości i link do aplikacji są pobierane ze zdalnego serwera, zwiększając prawdopodobieństwo, że złośliwe oprogramowanie może ewaluować i być wykorzystane do dystrybucji innych złośliwych witryn i aplikacji.

Stefanko powiedział, że dokładny mechanizm stojący za tym, w jaki sposób znajduje drogę do początkowego zestawu bezpośrednio zainfekowanych ofiar nie jest jasny; jednak należy zauważyć, że złośliwe oprogramowanie typu „wormable” może potencjalnie rozprzestrzeniać się z kilku urządzeń na wiele innych niezwykle szybko.