Malware para Android usa ataque do homem do meio

Especialistas em segurança na Lacoon Mobile Security detectou um aplicativo malicioso apelidado Windseeker que utiliza técnicas de injeção e ligando raros para espionar os usuários.

Windseeker é um aplicativo Android malicioso que atraiu especialistas em  Lacoon Mobile Security, as principais características do aplicativo são as suas técnicas de injeção e ligando usados ​​para espionar os usuários móveis.

As técnicas são raros no ecossistema móvel, Windseeker roda em enraizadas Android dispositivos e permite aos crackers para espionar aplicativos de mensagens instantâneas populares na China, WeChat e QQ .

A descoberta é de qualquer maneira, preocupante como observado por Avi Basã, CISO em Lacoon Mobile Security, que explicou que este tipo de ameaça poderia ser usado para espionar dados de qualquer outro aplicativo.

"Embora esta ferramenta destina-se para uso na China devido aos destinados alvos como chineses instantâneas aplicativos de mensagens ( WeChat e QQ) e monitorado chats sendo em chinês, é importante compreender que este tipo de ameaça poderia ser implementado em qualquer lugar. ", escreveu Basã em um post de blog .

Como de costume acontecer, esse tipo de aplicativos maliciosos é distribuído através de mercados de aplicativos de terceiros, a instalação de Windseeker precisa atacante tem acesso físico ao Smartphone.

Windseeker espião em aplicativos

Diferentemente de outros aplicativos móveis usados ​​para espionar os usuários, Windseeker implementa técnicas de injeção e ligando em vez roubar os dados da memória do dispositivo nem do seu sistema de arquivos.

O mecanismo de injeção possui duas fases distintas, em uma primeira etapa o aplicativo implanta um arquivo nativo que usa o  ptrace  processo, e que também é usada para injetar um segundo arquivo para o aplicativo de mensagens instantâneas alvejado. Na segunda etapa o arquivo nativo injetado carrega um java arquivo que permite monitorar a atividade do aplicativo de mensagens através do enganche API.

"Enganchado sobre um código de API significa que toda vez que o aplicativo chama a API, em vez de ir diretamente para o sistema, [dados] é interceptado por [o agressor]. Quando é no próprio dispositivo, que é chamado de 'enganche'; quando está na rede, ele é chamado de man-in-the-middle ataque. Malwares PC tem feito isso há anos. "

"Este tipo de técnica de engate não é comum na área móvel. Até agora, móveis comerciais vigilância aplicativos normalmente obtidos os dados de um aplicativo por meio do sistema de arquivos ou através de um despejo de memória.

Esta técnica de gancho marca uma nova etapa na evolução da atividade maliciosa em móvel, que se assemelha a forma de malware baseado em PC também tem evoluído ao longo dos anos. É só uma questão de tempo até que vejamos essas técnicas adotadas tornaram comuns e avançar para o malware geral de segmentação de massa móvel. ",
Pierluigi Paganini

( Assuntos de Segurança  - Windseeker ,