Mar 24 Iunie 9:00 AM

Kaspersky Lab descopera malware pentru Android si iOS si analizeaza structura serverelor de comanda si control HackingTeam

Kaspersky Lab a publicat un raport care scoate la iveala o infrastructura internationala pentru administrarea implanturilor de malware Remote Control System (RCS) si identifica o serie de noi troieni, creati pentru a infecta dispozitive mobile – atat pe cele care au sisteme de operare Android cat si pe cele cu iOS. Aceste module fac parte din asa-numitul instrument «legal» de spyware, RCS, cunoscut sub numele de Galileo, dezvoltat de compania italiana HackingTeam. Lista tintelor vizate include activisti si sustinatori ai drepturilor omului, precum si jurnalisti si politicieni, conform datelor din cea mai recenta cercetare efectuata de Kaspersky Lab impreuna cu partenerul sau Citizen Lab.

Infrastructura RCS
Kaspersky Lab a efectuat mai multe demersuri de localizare a serverelor globale de comanda si control (C&C) pentru Galileo. In procesul de identificare, specialistii Kaspersky Lab au utilizat indicatori speciali si date de conectivitate obtinute prin recompunerea unor mostre tehnice.
Rezultatele analizei Kaspersky Lab arata prezenta a mai mult de 320 de servere de comanda si control pentru RCS in peste 40 de tari, inclusiv in Romania. Majoritatea serverelor sunt localizate pe teritoriul SUA, Kazakhstan, Ecuador, Marea Britanie si Canada.

«Prezenta acestor servere intr-o anumita tara nu indica neaparat utilizarea lor de catre autoritatile din acea tara», comenteaza Sergey Golovanov, Principal Security Researcher la Kaspersky Lab. «Totusi se poate intampla ca atacatorii sa instaleze dispozitive de C&C in locurile pe care le controleaza, acolo unde riscurile aparitiei unor probleme legale legate de granite sau de blocare a serverelor sunt minime», concluzioneaza Sergey Golovanov, Principal Security Researcher la Kaspersky Lab.

Implanturile mobile RCS
Desi existenta troienilor HackingTeam pentru sistemele de operare iOS si Android era deja cunoscuta in mod teoretic, nimeni nu ii identificase pana acum si nici nu ii observase vreodata in timpul atacurilor. Expertii Kaspersky Lab cerceteaza malware-ul RCS de mai bine de doi ani. La inceputul acestui an, acestia au identificat cateva mostre de programe pentru telefoanele mobile, care se potriveau cu alte configurari de malware RCS din colectia lor. Pe parcursul derularii cercetarilor, specialistii au primit alte noi variante de modele de la victime ale atacurilor, prin intermediul retelei de cloud Kaspersky Lab KSN. In plus, specialistii companiei au lucrat cu Morgan Marquis-Boire de la Citizen Lab care a cercetat in detaliu malware-ul HackingTeam.

Vectori de infectie: Operatorii din spatele Galileo RCS construiesc implanturi daunatoare pentru fiecare tinta concreta. Odata ce programul este finalizat, atacatorul o transmite la dispozitivul mobil al victimei. Printre vectorii de infectie cunoscuti se regasesc: spearphishing prin intermediul ingineriei sociale (cel mai adesea impreuna cu atacuri, inclusiv cele de tip «zero-day») si infectii locale prin intermediul cablurilor USB, in timpul sincronizarii dispozitivelor mobile cu computerele.

Una din descoperirile majore presupune actiunea specifica de infectare a unui iPhone de catre un troian Galileo: pentru ca acesta sa se intample, este necesar ca dispozitivul sa fie jailbroken. Totusi, si dispozitivele care nu sunt jailbroken pot deveni vulnerabile: un atacator poate rula un instrument precum ‘Evasi0n’ prin intermediul unui computer deja infectat si poate efectua un jailbreak de la distanta, urmat de o infectare. Pentru a evita riscurile, expertii Kaspersky Lab le recomanda utilizatorilor sa evite jailbreak-ul si sa-si actualizeze frecvent sistemul de operare iOS.
Spionare personalizata: Modulele mobile RCS sunt construite pentru a opera intr-o maniera discreta, acordand o mare atentie la bateria dispozitivului. Acest lucru este posibil prin actiuni atente de spying sau prin mecanisme speciale de declansare: de exemplu, o inregistrare audio poate incepe doar cand o victima este conectata la o anumita retea Wi-Fi (de exemplu reteaua unei firme), cand utilizatorul schimba cartela SIM sau in timpul incarcarii telefonului mobil.

In general, troienii RCS pentru dispozitivele mobile pot avea functii de supraveghere, oferind date despre localizarea tintei, fotografii ale acesteia, pot copia evenimentele din calendar si inregistra noi cartele SIM in momentul introducerii in dispozitivul compromis si pot intercepta apelurile sau mesajele: inclusiv mesaje trimise din aplicatii specifice precum Viber, WhatsApp si Skype, in plus fata de SMS-urile obisnuite.

Detectarea: Produsele Kaspersky Lab detecteaza instrumentele de spionaj RCS/DaVinci/Galileo precum: Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut, Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent, Trojan-Spy.AndroidOS.Mekir and Backdoor.AndroidOS.Criag.

support
Best Antivirus Suport Clienti: +40 747 199 292 / contact »
Kaspersky Lab descopera malware pentru Android si iOS si analizeaza structura serverelor de comanda si control HackingTeam