Güvenlik uzmanları, Gmail, WhatsApp, Instagram ve Facebook kullanıcı etkinliğini izleyebilen MonitorMinor adlı yeni bir stalkerware tespit etti.

Kaspersky Lab güvenlik uzmanları MonitorMinor adında yeni bir stalkerware gördü (izlemek.AndroidOS.MonitörKüçük.c), Gmail, WhatsApp, Instagram ve Facebook kullanıcı etkinliğini izleyebilir.

Stalkerware Ticari izleme yazılımı veya takip için kullanılan bir casus yazılımdır, genellikle aile üyelerini veya topluluklarını gizlice gözetlemek için kullanılır.eağlar.

Uzmanlara göre, MonitorMinor ailesinin mevcut tüm yazılımlarından daha güçlü.

Stalkerware kurbanın akımını toplayabilir coğrafi konum, SMS ve çağrı verilerini kesmek ve bazen uygulamak Google'ın bize Özellikler,

MonitorMinor, casusluğa da izin verdiği için göze çarpıyor anlık mesajlaşma uygulamaları gibi diğer iletişim kanallarında.

Bulduğumuz örnek (Monitöre karar verildi.AndroidOS.MonitörKüçük.c) bunu yapabilen nadir bir stalkerware parçasıdır.

Uzmanlar, sapkın yazılımın yazarının Süper Kullanıcı-tipi uygulaması (SU yardımcı programı) sisteme root erişimi sağlar.

““ Temiz ”bir Android işletim sisteminde, uygulamalar arasında doğrudan iletişim kum havuzu, bu nedenle stalkerware, WhatsApp mesajlarını açıp erişim sağlayamaz. Bu erişim modeline DAC (İsteğe Bağlı Erişim Kontrolü) denir. ” okur rapor Kaspersky tarafından yayınlanmıştır.

“Sisteme kök erişimi sağlayan bir SuperUser tipi uygulama (SU yardımcı programı) yüklüyse durum değişir.” “MonitorMinor'un yaratıcılarının güvendiği bu yardımcı programın varlığı.”

SU yardımcı programını çalıştırarak ayrıcalıklar yükseldiğinde, kötü amaçlı yazılım aşağıdaki uygulamalardaki verilere tam erişim kazanır:

• HAT: Ücretsiz Aramalar ve Mesajlar
• Gmail
• Zalo - Görüntülü Arama
• Instagram
• Facebook
• Kik
• Hangouts
• Viber
• Haberler ve İçerikler
• Skype
• Snapchat
• JusTalk
• BOTİM

MonitörKüçük ayrıca dosyayı ayıklayabilir / Veri / sistem / hareket.anahtar ekran kilidini açma düzeni veya parola için karma toplamı içeren cihazdan. MonitörKüçük operatör cihazın kilidini açmak için kullanabilir, bu böyle bir işlevi uygulayan ilk stalkerware.

Kötü amaçlı yazılım tarafından uygulanan kalıcılık mekanizması çok verimlidir ve kök erişiminden yararlanır. Stalkerware sistem bölümünü salt okunur moddan okuma / yazma moduna yeniden monte eder, daha sonra kendini kopyalar, kendini kullanıcı bölümünden siler ve salt okunur moda geri monte eder.

Mağdurlar casus yazılımları normal işletim sistemi araçlarını kullanarak kaldıramaz.

MonitorMinor, kontrollü uygulamalardaki olayları durdurmak için Erişilebilirlik Hizmetleri API'sından yararlanır, kök erişimi olmadan bile bu API ile tüm cihazlarda etkin bir şekilde çalışabilir.

Kötü amaçlı yazılım ayrıca keylogger bu API aracılığıyla operatörlerin panoyu izlemelerine ve içeriği iletmelerine olanak tanır.

Stalkerware ayrıca sahibinin şunları yapmasına izin verir:

• SMS komutlarını kullanarak cihazı kontrol etme
• Cihazın kameralarından gerçek zamanlı video izleyin
• Cihazın mikrofonundan ses kaydedin
• Chrome'da tarama geçmişini görüntüleme
• Belirli uygulamalar için kullanım istatistiklerini görüntüleme
• Cihazın dahili deposunun içeriğini görüntüleme
• Kişi listesini görüntüle
• Sistem günlüğünü görüntüleme

Kaspersky'ye göre, bu stalkerware kurulumlarının çoğu Hindistan (% 14.71), ardından Meksika (% 11.76), Almanya, Suudi Arabistan ve İngiltere (% 5.88). Uzmanlar ayrıca Hint adında bir Gmail hesabının bulunduğunu fark etti içine bir Hintli geliştirici tarafından geliştirildiğini gösteren bir durum olan MonitorMinor'un gövdesi.

"MonitörKüçük birçok açıdan diğer stalkerware'den daha üstündür. Bazıları benzersiz olan ve kurbanın cihazında tespit edilmesi neredeyse imkansız olan her türlü izleme özelliğini uygular. ” Kaspersky'yi bitiriyor. “Cihazın root erişimi varsa, operatörünün daha da fazla seçeneği var.

Pierluigi Paganini

(Güvenlik İşleri - MonitorMinor, kötü amaçlı yazılım)

Paylaş

Kaynak: https://securityaffairs.co/wordpress/99730/malware/monitorminor-super-stalkerware.html