Η Kaspersky Lab εντόπισε ένα νέο mobile malware για Android και iOS και χαρτογράφησε tους Command and Control servers της HackingTeam.

Σύμφωνα με τη νέα έρευνα που πραγματοποίησε η Kaspersky Lab, σε συνεργασία με τη Citizen Lab, ο κατάλογος των θυμάτων περιλαμβάνει ακτιβιστές και υποστηρικτές των ανθρωπίνων δικαιωμάτων, καθώς και δημοσιογράφους και πολιτικούς.


Υποδομή RCS

Η Kaspersky Lab αξιοποίησε διάφορες προσεγγίσεις ασφάλειας για να εντοπίσει τους Command & Control servers (C&C) του Galileo σε όλο τον κόσμο. Για τη διαδικασία ταυτοποίης, οι ειδικοί της Kaspersky Lab βασίστηκαν σε ειδικούς δείκτες και δεδομένα συνδεσιμότητας που απέκτησαν από υπάρχοντα δείγματα αντίστροφης μηχανικής.

Κατά τη διάρκεια της έρευνας, οι ερευνητές της Kaspersky Lab κατέγραψαν πάνω από 320 RCS C&C servers, σε περισσότερες από 40 χώρες. Η πλειοψηφία των servers βρισκόταν στις ΗΠΑ, στο Καζακστάν, στο Εκουαδόρ, στο Ηνωμένο Βασίλειο και στον Καναδά.

Σχολιάζοντας τα τελευταία ευρήματα, ο Sergey Golovanov, Principal Security Researcher της Kaspersky Lab, δήλωσε: «Η παρουσία αυτών των servers σε μια συγκεκριμένη χώρα δεν συνεπάγεται ότι χρησιμοποιούνται από τις διωκτικές αρχές της εν λόγω χώρας. Ωστόσο, είναι λογικό για τους χρήστες του RCS να αναπτύσσουν C&C servers στις περιοχές που ελέγχουν, όπου οι κίνδυνοι διασυνοριακών νομικών ζητημάτων ή πιθανών κατασχέσεων των servers είναι μικρότεροι».


Μobile εμφυτεύματα RCS

Αν και στο παρελθόν είχε γίνει γνωστή η ύπαρξη mobile Trojans για iOS και Android της HackingTeam, κανείς δεν τα είχε ταυτοποιήσει στην πραγματικότητα – ή κανείς δεν είχε παρατηρήσει ότι χρησιμοποιούνταν για επιθέσεις. Οι ειδικοί τηςKaspersky Lab ερευνούν το RCS malware τα δύο τελευταία χρόνια. Στις αρχές της χρονιάς, κατάφεραν να εντοπίσουν συγκεκριμένα δείγματα από mobile modules που ταίριαζαν με τις ρυθμίσεις άλλων κακόβουλων λογισμικών RCS που είχαν ήδη συλλέξει. Κατά τη διάρκεια της τελευταίας έρευνας, συνέλλεξαν νέες παραλλαγές δειγμάτων από τα θύματα, μέσα από το Kaspersky Security Network, το cloud-based δίκτυο της Kaspersky Lab. Επιπλέον, οι ειδικοί της εταιρείαςσυνεργάστηκαν στενά με τον Morgan Marquis-Boire από τη Citizen Lab, ο οποίος έχει ερευνήσει εκτενώς το malware που αναπτύσσει η HackingTeam.


Φορείς «μόλυνσης»

Οι διαχειριστές που βρίσκονται πίσω από το RCS Galileo αναπτύσσουν ένα συγκεκριμένο κακόβουλο εμφύτευμα για κάθε συγκεκριμένο στόχο. Μόλις ετοιμαστεί το δείγμα, ο επιτιθέμενος το μεταφέρει στη mobile συσκευή του θύματος. Στις γνωστές μεθόδους «μόλυνσης» περιλαμβάνεται το spearphishing μέσω κοινωνικής μηχανικής. Συχνά, αυτό συνδυάζεται με τη χρήση exploits, όπως τα zero-day exploits, καθώς και με τοπικές «μολύνσεις» μέσω καλωδίων USB κατά τη διάρκεια της διαδικασίας συγχρονισμού των φορητών συσκευών.

Μία από τις πιο σημαντικές ανακαλύψεις της Kaspersky Lab αφορά στον ακριβή τρόπο με τον οποίο ένα Galileo mobile Trojan μολύνει ένα iPhone. Αυτό γίνεται μέσω του jailbreaking («σπασίματος») της συσκευής. Ωστόσο, ακόμα και τα iPhoneστα οποία δεν έχει γίνει «σπάσιμο», μπορούν να γίνουν ευάλωτα. Συγκεκριμένα, ένας εισβολέας μπορεί να τρέξει ένα εργαλείο jailbreaking, όπως το “Evasi0n”, μέσω ενός ήδη μολυσμένου υπολογιστή, για να πραγματοποιήσει απομακρυσμένοjailbreaking και να «μολύνει» τη συσκευή. Για να αποφευχθεί ο κίνδυνος «μόλυνσης», οι ειδικοί της Kaspersky Lab συνιστούν αρχικά να μην πραγματοποιείται jailbreaking στο iPhone από τους χρήστες, Δεύτερον, οι χρήστες πρέπει νααναβαθμίζουν συνεχώς το λειτουργικό iOS στην πιο πρόσφατη έκδοση.


Προσαρμοσμένη Κατασκοπεία

Τα mobile modules RCS έχουν αναπτυχθεί με ιδιαίτερη σχολαστικότητα, ώστε να λειτουργούν με διακριτικό τρόπο. Για παράδειγμα, δίνουν ιδιαίτερη προσοχή στη διάρκεια ζωής της μπαταρίας των φορητών συσκευών. Αυτό επιτυγχάνεται μέσα από προσεκτικά προσαρμοσμένες δυνατότητες κατασκοπείας ή μέσω ειδικών λειτουργιών ενεργοποίησης. Για παράδειγμα, η διαδικασία ηχογράφησης μπορεί να ξεκινήσει μόνο όταν το θύμα συνδεθεί σε ένα συγκεκριμένο δίκτυο Wi-Fi (όπωςτο δίκτυο ενός media house) ή όταν αλλάξει την κάρτα SIM ή όσο φορτίζεται η συσκευή.

Σε γενικές γραμμές, τα RCS mobile Trojans μπορούν να εκτελέσουν πολλά διαφορετικά είδη παρακολούθησης, όπως η αναφορά της θέσης του στόχου, η λήψη φωτογραφιών, η αντιγραφή σημειώσεων από το ημερολόγιο, η καταγραφή νέωνκαρτών SIM που εισέρχονται στη μολυσμένη συσκευή και η υποκλοπή τηλεφωνημάτων και μηνυμάτων. Πέρα από τα κλασικά SMS, υποκλοπή γίνετια και σε μηνύματα που στέλνονται από συγκεκριμένες εφαρμογές, όπως το Viber, τοWhatsApp και το Skype.


Εντοπισμός

Τα προϊόντα της Kaspersky Lab ανιχνεύουν τα RCS/DaVinci/Galileo εργαλεία spyware, τα οποία έχουν καταχωρηθεί με τις ονομασίες: Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin,Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut, Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent, Trojan-Spy.AndroidOS.Mekir and Backdoor.AndroidOS.Criag.


Σχετικά με την KasperskyLab

Η KasperskyLab είναι η μεγαλύτερη μη εισηγμένη εταιρεία παροχής λύσεων ασφάλειας υπολογιστών στον κόσμο. Η εταιρεία είναι μεταξύ των τεσσάρων κορυφαίων παρόχων λύσεων ασφάλειας στον κόσμο*. Καθ’ όλη την ιστορία της που μετρά πάνω από 16 χρόνια, η KasperskyLab παρουσιάζει καινοτομίες στον τομέα της ασφάλειας, παρέχοντας αποδοτικές λύσεις για την προστασία των χρηστών, των μικρομεσαίων και των μεγάλων επιχειρήσεων. Σήμερα, οι δραστηριότητες της KasperskyLab εκτείνονται σε 200 χώρες και περιφέρειες ανά τον κόσμο, με την εταιρεία να παρέχει online ασφάλεια σε πάνω από 300 εκατομμύρια χρήστες. Για περισσότερες πληροφορίες, επισκεφθείτε τη διεύθυνση: www.kaspersky.com.


Πηγή: SecNews

Ακολουθήστε το Flash.gr στο Google News και μάθετε πρώτοι τις ειδήσεις