Útok začal tím, že si uživatel stáhnul aplikaci slibující zrychlení telefonu. Typický majitel levného Androidu se chtě nechtě po čase setká se zpomalením systému a tyto aplikace jsou tudíž v Google Play oblíbené. Aplikace slibuje především zrychlení pomocí vyčištění RAM – to opravdu dělá, obsahuje pouze pár řádků kódu, který restartuje všechny běžící procesy.
Aplikace slibuje zrychlení telefonu, na Google Play měla kladné hodnocení
Zároveň má však aplikace postranní úmysly – stáhne ze serverů útočníka tři soubory autorun.inf, folder.ico a svchosts.exe a uloží je v kořenové složce paměťové karty telefonu. Už je tedy jasné, o co aplikaci jde – spustit škodlivý kód v počítači po připojení telefonu pomocí USB. Pokud jej připojí uživatel se starším operačním systémem, který nemá ve výchozím stavu zakázané spouštění Autorun souborů, aplikace začne vykonávat škodlivou činnost. V tomto případě se jednalo o Backdoor.MSIL.Ssucl.a, který naštěstí nepatří mezi nejzákeřnější. Pomocí otevřené knihovny NAUDIO nakonfiguruje v počítači vstupní zvukové zařízení a s jeho pomocí umí odeslat veškeré zvuky, které zachytí na FTP server útočníka.
Červ v PC nakonfiguruje mikrofon, který umí odesílat zvuky na FTP útočníka
Samotná činnost tohoto červa není nijak závažnou bezpečnostní hrozbou, dobře však ukazuje na nové možnosti, jak využít smartphone pro kyberkriminalitu.
ČLÁNKY DO MAILU