Mazar BOT se šíří na zařízeních s Androidem

Společnost Heimdal Security odhalila Mazar BOT - malware, který se šíří systémem Android. Kromě toho, že je tento malware poměrně nový a umí si získat na zařízení oběti administrátorská práva, dovede se zařízením de facto cokoliv.

Malware také umí číst SMS zprávy, což je poměrně nebezpečné zvláště u ověřovacích dočasných kódu, které často bývají součástí dvojfázového ověření např. u internetových bankovnictvích. Útočný kód se říší prostřednictvím zprávy: "Obdrželi jste multimediální zprávu od [kód státu][číslo odesílatele]" a následuje odkaz vedoucí na stažení APK souboru.

Jakmile se APK soubor stáhne a spustí, ihned si nastaví administrátorská práva na mobilním zařízení oběti. APK si také stáhne TOR a nainstaluje, následně se přes tento prohlížeč připojí na vzdálený server, ze kterého může dostat další instrukce nebo se naopak na něj odesílají informace.

Tím může sbírat data uživatele, sledovat jeho polohu, číst osobní zprávy a hovory. A dokonce i celý systém smazat. Útočník si také může objednávat služby za prémiové SMS a tím zvyšovat účet za telefon oběti.

Malware v sobě také obsahuje Polipo proxy, která si ukládá cache a odesílá na server, odkud si je útočníci mohou stáhnout a přistupovat do dat vytažených z mobilního zařízení prakticky offline.

Zvláštností je, že malware se nenainstaluje na mobilní zařízení pokud zjistí, že je Android uživatele nastavený na ruský jazyk.

Mazar BOT se jinak prodává na Dark Webu už nějakou dobu, ale teprve nyní se začal šířit. "Útočníci možná jen testují své schopnosti a následně vylepšují nedostatky. Pracují na lepší taktice a výsledkem je nejspíše - jako vždy - vydělat peníze," prohlásil Zaharia, expert na bezpečnost ze společnosti Haimdal Security.

Zdroj: Threat Post