Zespół ds. bezpieczeństwa w sklepie Google Play przekazał informacje, z których możemy wyczytać, że w oficjalnym sklepie aplikacji dla Androida pojawił się spyware, który jest w stanie wykradać szczegółowe dane aplikacji społecznościowych oraz szpiegować nasze rozmowy na WhatsApp, Viber i Skype.

Malware, znany jako Tizi, opisywany jest jako pełni funkcjonalny backdoor, który jest w stanie zrootować system i szpiegować poczynania użytkownika bez jego wiedzy. Oprogramowanie to znane jest w krajach afrykańskich gdzie używane było do ataków cyberterrorystycznych.
Szkodliwe oprogramowanie reklamowane było w serwisach społecznościowych czy Google Play.

Przechwytywanie wiadomości z aplikacji typu WhatsApp, Telegram, Viber czy Skype to nie wszystko, Tizi potrafi również wysyłać i odbierać wiadomości SMS, ma dostęp do historii połączeń, kalendarza, zdjęć czy kluczy szyfrujących Wi-Fi oraz zainstalowanych aplikacji. Dodatkowo Tizi potrafi nagrywać audio oraz robić zdjęcia bez wiedzy użytkownika – ostrzegają eksperci firmy Bitdefender.
Po zrootowaniu, Tizi kradnie poufne dane z popularnych aplikacji społecznościowych takich jak Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn i Telegram. Zazwyczaj pierwszym ruchem jaki wykonuje malware jest wysyłanie wiadomości SMS ze współrzędnymi GPS urządzenia pod określony numer. Komunikaty, które sterują oprogramowaniem zazwyczaj wykonywane są za pośrednictwem zwykłego protokołu HTTPS, chociaż niektóre wersje Tizi używają protokoły przesyłania komunikatów MQTT z niestandardowym serwerem. Backdoor zawiera różne funkcje podobne do tego, które używają komercyjne spyware, czyli może nagrywać rozmowy z WhatsApp, Viber i Skype; wysyłać i odbierać wiadomości SMS; ma dostęp do kalendarza, rejestru połączeń, kontaktów, zdjęć, kluczy szyfrujących Wi-Fi oraz listy wszelkich zainstalowanych aplikacji. Ma również zdolność nagrywania dźwięku otoczenia oraz robienia zdjęć bez wyświetlania obrazu na ekranie urządzenia.

Dobrą wiadomością jest jednak to, że większość użytkowników korzystających z systemu Android nie została zainfekowana. Google zidentyfikowało około 1300 zainfekowanych urządzeń, z których większość to urządzenia z Kenii.

Wniosek może nasunąć się sam. Z działań szkodnika wynika, że nie był to rozpowszechniony atak, a próba ukierunkowanego ataku w starannie dobrane cele.

Według raportów Google, spyware został odkryty we wrześniu przez Google Play Protect. Po głębszym przeanalizowaniu sytuacji okazało się, że początki Tizi sięgają aż do października 2015 roku. Google oczywiście zawiesiło konto oferujące aplikację, a za pomocą Google Play Protect usunęło szkodliwe aplikacje z zainfekowanych urządzeń.

Jak użytkownicy Androida mogą uniknąć tego typu niespodzianek?

    – Sprawdź uprawnienia: zachowaj ostrożność zwłaszcza przy aplikacjach, które wymagają nieuzasadnionych uprawnień. Przykładowo aplikacja latarki nie powinna prosić dostęp do wiadomości SMS.

    – Użyj blokady urządzenia: zastosuj kod PIN, wzór lub zabezpiecz telefon odciskiem palca, jeśli taka możliwość istnieje.

    – Aktualizuj system: nie zwlekaj z aktualizacjami. Najnowsze wersje systemu zazwyczaj poprawiają to co zostało przeoczone przy poprzedniej wersji oprogramowania. Szkodniki typu Tizi tylko i wyłącznie żerują na takich lukach.

    – Google Play Protect: upewnij się, że funkcja Google Play Protect jest włączona na Twoim urządzeniu.

    – Znaj położenie swojego urządzenia z Androidem: sprawdź funkcję „Znajdź moje urządzenie”, gdyż prawdopodobieństwo zgubienia swojego urządzenia jest znacznie większe niż zainstalowanie złośliwego oprogramowania.

Warto stosować się tych rad, jednak niekiedy zdarza się, że urządzenia z Androidem nie posiadają aktualnego oprogramowania. Nie jest to wina użytkownika, jednak producenta, gdyż duża ilość urządzeń dostaje aktualizację systemu dopiero po jakimś czasie.

źródło: Bitdefender

Kan