Talegjenkjenning i ny Android-trojaner

Forskere ved universitetet i Indiania og City University of Hong Kong har i samarbeid utviklet en trojaner for Android, som både stjeler data på en imponerende måte, samtidig som den er svært vanskelig å oppdage for antivirusprogramvare.

Trojaneren heter Soundminer, og overvåker telefonsamtaler. Når en intetanende mobilbruker ramser opp sifrene i sitt kredittkortnummer, sendes informasjonen videre til angriperen.

«Vi implementerte Soundminer på en Android-telefon og evaluerte teknologien ved å bruke realistiske samtaledata. Vår studie viser at et individuelt kredittkortnummer pålitelig kan identifiseres og diskret videresendes. Derfor er trusselen om et slikt angrep reell,» skriver forskerne ifølge Computerworlds nyhetstjeneste.

Vibrasjonskanal

For å unngå mistanke spør Soundminer om så få tillatelser som mulig. For eksempel kan Soundminer få tillatelse til å bruke telefonens mikrofon, men om den hadde bedt om adgang til å også sende data, til utgående samtaler og til adresseboken, kunne det virket mistenkelig. Derfor har forskerne i en annen variant av angrepet supplert Soundminer med en annen trojaner, kalt Deliver, som er ansvarlig for å sende informasjonen Soundminer fanger opp.

Android kan forhindre direkte kommunikasjon mellom de to applikasjonene. Derfor fant forskerne en metode som Soundminder kan snikkommunisere med Deliver. De fant flere kanaler som brukes til å kommunisere med programmerte funksjoner i telefonen, for eksempel vibrasjonsinnstillingene.

Soundminer klarte å kode sine sensitive data på en måte som gjorde at de så ut som vibrasjonsinnstillinger. Deretter kunne Deliver dekode dataene og sende det videre til en server. Vibrasjonskanalen har bare 87 bits båndbredde, men ettersom kredittkortnumrene var på bare 54 bit gikk dette bra, ifølge forskerne.

Uten mistanke

Siden Soundminer er kodet til å gjøre tale- og tallgjennkjenning på selve telefonen, dermed ble dataene som skulle sendes relativt små, som gjør at Soundminer vil fly under radaren til antivirusprogrammer som bare trigger på høyere datamengder.

Verken Virusguard fra Smobile System eller Antivirus fra Droid Security klarte å gjenkjenne applikasjonen som et ondsinnet program, selv mens den tok opp og lastet opp data, ifølge forskerne.

Google kommenterer at Android er laget for å minimere konsekvensene av «dårlig programmerte eller ondsinnede applikasjoner som dukker opp på enheten», men unnlater å nevne Soundminer spesifikt.

- Hvis brukere opplever at en applikasjon er skadelig eller upassende, kan de flagge den, gi den lav skår i anmeldelse, etterlate detaljerte kommentarer og selvfølgelig fjerne den fra enheten sin. Applikasjoner som bryter vår policy blir fjernet fra Market, og utviklere som utøver misbruk kan også bli utestengt fra å bruke Android Market for gjentatte eller ekstreme brudd på vår policy, sier en talsperson fra søkegiganten.