Angriper alle Android-mobiler – unntatt de i Russland
Nytt Android-virus ser ut til å være på jakt etter nettbank-trafikk.
Et nytt skadevare-program som fram til nå kun har vært annonsert til salgs på russiske undergrunnsnettsteder har nå vært observert i den virkelige verden. Produktet MazarBOT angriper Android-mobiler, og kan ta full kontroll over mobiltelefonen.
«Flere faktorer indikerer at denne programvaren har blitt designet for å i hovedsak angripe brukernes nettbank-trafikk, og antakelig vil den lykkes i å komme rundt de fleste nettbankers sikkerhetstiltak», skriver Peter Kruse på nettsiden til danske CSIS Security Group. Dette selskapet utfører dype sikkerhetsanalyser for finansbransjen i Danmark.
Ikke i Russland
På nettsiden til CSIS skriver Kruse videre at selskapet nylig observerte «en sverm» av SMS-er som ble sendt til tilfeldige mobilnumre i Danmark. I SMS-en lå det en link til en Android pakkefil (APK), som inneholder MazarBOT.
MazarBOT vil avbryte installasjonen av seg selv dersom den detekterer at mobilen befinner seg i Russland. Dette var ikke noe som overrasket analytikerne i CSIS, skriver Kruse. De spekulerer i at opphavsmennene kanskje vil unngå å pådra seg lokale myndigheters oppmerksomhet på denne måten.
«Avansert og ekkel»
Dersom mobilen «består» lokasjonstesten, vil installasjonsrutinen fortsette med å installere programvare for å aksessere anonymitetsnettverket TOR. Deretter sender programvaren en SMS til et nummer med landskode tilhørende Iran, med teksten «Thank you».
MazarBOT har evnen til å gjøre en rekke forskjellige angrep på mobilen. Ifølge artikkelen til Kruse kan den:* Åpne en bakdør i Android-mobilen, som kan overvåke og kontrollere den etter eget ønske.
* Sende SMS-meldinger til høypristjenester, noe som kan øke mobilregningen til brukeren kraftig.
* Lese SMS-meldinger, noe som gjør at programvaren får tilgang til autentiseringskoder som er sendt som en del av en to-faktor autentisering, noe som benyttes av banker og nettbutikker.
* Utnytte den ubegrensete tilgangen til Android-mobilen til å gjøre en rekke forskjellige handlinger, for eksempel ut på det trådløse lokalnettet som også er tilkoblet.
«MazarBOT er en ganske avansert og ekkel Android-programvare», er konklusjonen til Peter Kruse i CSIS i Danmark.