malware android

Ten malware zrootuje twojego Androida i usunie wszystko z telefonu

Właśnie został odkryty nowy malware, który atakuje urządzenia działające pod systemem Android. To złośliwe oprogramowanie potrafi uzyskać dostęp do konta Root i całkowicie wykasuje zawartość smartfonu.

Nowy szkodnik atakujący Androida to Mazar BOT, który po załadowaniu na urządzenie i instalacji, zamienia telefon w zombie będące częścią botnetu kontrolowanego przez hakerów. Mazar BOT został wykryty przez duńską firmę Heimdal Security z siedzibą w Kopenhadze, gdy jej pracownicy analizowali przypadki wysyłania wiadomości SMS do losowo wybranych numerów (źródło: https://heimdalsecurity.com/blog/security-alert-mazar-bot-active-attacks-android-malware/).

Działanie Mazar BOT

Większość złośliwego oprogramowania, które atakuje system Android, rozprzestrzenia się poprzez instalację aplikacji z nieznanych źródeł, poza sklepem Google Play. W przypadku Mazar BOT dzieje się jednak inaczej. Ten malware jest rozsyłany poprzez wiadomości SMS oraz MMS, które zawierają linki do złośliwego pliku APK. Treść takiej wiadomości wygląda następująco:

You have received a multimedia message from +[country code] [sender number] Follow the link http: //www.mmsforyou [.] Net / mms.apk to view the message” (źródło: https://heimdalsecurity.com/blog/security-alert-mazar-bot-active-attacks-android-malware/).

Gdy tylko użytkownik kliknie w taki link, rozpoczyna się pobieranie złośliwego oprogramowania, a potem pojawia się prośba o zgodę na zainstalowanie nowej aplikacji pod nazwą MMS Messaging. Aplikacja z kolei prosi o przyznanie uprawnień administratora, na co większość użytkowników zupełnie odruchowo wyraża zgodę.

Jakie szkody może wyrządzić Mazar BOT?

Uzyskanie dostępu do konta Root pozwala malware Mazar BOT wykonywać rozmaite czynności mogące naprawdę niepokoić, na przykład:

  • tworzy backdoor i w ten sposób przejmuje pełną kontrolę nad urządzeniem;
  • wysyła i czyta wiadomości SMS;
  • wykonuje połączenia do numerów zapisanych w kontaktach telefonu;
  • odczytuje wszystkie dane z telefonu;
  • zmienia ustawienia smartfonu;
  • uzyskuje dostęp do internetu;
  • przełącza telefon w tryb uśpienia;
  • infekuje przeglądarkę Chrome;
  • sprawdza status dostępu do sieci;
  • usuwa wszystkie dane z telefonu.

Mazar BOT korzysta z TOR

Okazuje się, że to, o czym pisaliśmy powyżej, nie wyczerpuje wachlarza aktywności nowego malware. Mazar BOT łączy się bowiem z siecią TOR (The Onion Router), do czego wykorzystuje ściągniętą wcześniej na telefon aplikację TOR app umożliwiającą korzystanie z „sieci cebulowej”. Pobrana aplikacja jest instalowana bez zgody właściciela telefonu i pozwala malware Mazar BOT na anonimowe surfowanie po sieci TOR. Gdy już wspomniana aplikacja zostanie zainstalowana na telefonie ofiary, złośliwe oprogramowanie wysyła wiadomość SMS o treści „Tank you” na irański numer telefonu, a przy okazji dostarcza odbiorcy dane dotyczące lokalizacji zainfekowanego urządzenia.

Niestety, to jednak nie wszystko, ponieważ Mazar BOT instaluje jeszcze na telefonie z Androidem aplikację o nazwie Polipo Proxy pozwalającą hakerowi przeprowadzić atak typu Man-in-the- Middle polegający na modyfikacji wiadomości przesyłanych pomiędzy dwoma użytkownikami.

Kto kryje się za Mazar BOT?

Nie wiadomo oczywiście dokładnie, ale podejrzewa się, że twórcami nowego zagrożenia dla telefonów z Androidem może być grupa cyberprzestępców z Rosji. Na taki trop naprowadza fakt, że Mazar BOT nie może zostać zainstalowany w smartfonach używających języka rosyjskiego. W kodzie źródłowym malware znaleziono instrukcje odnoszące się do zatrzymania procesu szkodnika Mazar BOT, gdy zostanie wykryty właśnie język rosyjski. Dodatkowo warto wspomnieć, że już kilka miesięcy temu Mazar BOT był oferowany na sprzedaż na kilku forach rosyjskiego Dark Webu, ale dopiero teraz został wykorzystany w praktyce.

Jak uchronić się przed Mazar BOT?

Na działanie malware Mazar BOT narażony jest każdy telefon działający pod systemem Android, ale nie oznacza to, że nie można się skutecznie ochronić przed tym złośliwym oprogramowaniem. Oto kilka porad, które w tym pomogą:

  • nigdy nie klikaj w linki zawarte w wiadomościach SMS i MMS przysłanych od nieznanych nadawców;
  • wyłącz w telefonie opcję „Zezwalaj na instalację aplikacji z zaufanych i nieznanych źródeł” (Ustawienia -> Bezpieczeństwo -> Nieznane Źródła);
  • zawsze aktualizuj zainstalowanego na twoim urządzeniu antywirusa;
  • unikaj niezabezpieczonych sieci Wi-Fi, a gdy nie korzystasz z internetu, wyłącz Wi-Fi.

Tak naprawdę najlepszą ochroną przed zagrożeniami ze strony złośliwego oprogramowania jest przede wszystkim zdrowy rozsądek i ograniczone zaufanie do nieznanych aplikacji.