Symantec a identificat un nou malware ce vizeaza dispozitivele bazate pe sistemul de operare Android, si care colecteaza datele cu caracter personal stocate pe acestea. Malware-ul, denumit Android.Exprespam, este raspandit prin intermediul spamului de linkuri catre pagini false Google Play. Aceste pagini au hosting-ul pe un server situat in Washington.
“Este de remarcat faptul ca site-ul se numeste de fapt Gcogle Play. Domeniul site-ului a fost inregistrat pe 27 decembrie si fisierul APK malware contine o semnatura valida din data de 2 ianuarie. De asemenea, am confirmat deja 9 pagini diferite pe acest site, cu toate ca aplicatia descarcata este aceeasi pe fiecare pagina” a scris expertul in securitate Joji Hamada pe blogul Symantec.
Ecranul de instalare afiseaza permisiunile pe care le cere aplicatia malware, care include si accesul la informatiile cu caracter personal, starea si identitatea telefonului si informatiile contului. In general, aplicatiile legitime nu solicita astfel de permisiuni.
“Odata instalata si deschisa, aplicatia malware informeaza utilizatorul ca nu este compatibila cu dispozitivul acestuia. Cu toate acestea, datele cu caracter personal sunt trimise in mod silentios catre un server remote” a remarcat Hamada.
Spre deosebire de alte tipuri de malware, acesta foloseste Secure Sockets Layer (SSL) pentru a cripta informatiile pe care le fura si le uploadeaza pe server.
“Totusi, de ce atacatorii ar cripta informatiile furate? Pot doar sa speculez faptul ca acestia si-au luat masuri de securitate pentru a proteja datele colectate, in aceeasi maniera in care ar face si o companie responsabila. De asemenenea, este posibil ca autorii acestui malware sa recurga la criptarea datelor pentru a nu exista dovezi impotriva lor, in cazul in care vor fi arestati” a spus Hamada.
In concluzie, toti utilizatorii de dispozitive Android sunt sfatuiti sa se gandeasca de doua ori inainte de a deschide linkurile din e-mailuri pe care le primesc de la surse necunoscute.