Eksperci ostrzegają przed nowym złośliwym oprogramowaniem dedykowanym użytkownikom Androida.

Mazar Bot jest:

• dostarczany za pośrednictwem wiadomości SMS;
• w stanie uzyskać dostęp do katalogu głównego urządzenia;
• instaluje oprogramowanie, w tym Tora;
• może usunąć wszystkie dane i zresetować urządzenie.

Mazar Bot został odkryty przez Heimdal Security, którego naukowcy przeanalizowali wiadomości tekstowe rozesłane na losowe numery. Wiadomość rzekomo odsyła do linka z MMSem, lecz w rzeczywistości instaluje aplikacje mms.apk. Zamaskowany Mazar Bot.

Komunikat brzmi:

“You have received a multimedia message from +[country code] [sender number] Follow the link http: //www.mmsforyou [.] Net / mms.apk to view the message”,

co wystarczy, by oszukać wielu ludzi i zachęcić do kliknięcia czegoś, co wydaje się być zdjęciem lub filmikiem. Aplikacja Wiadomości MMS wykorzystuje uprawnienia administratora, aby uzyskać dostęp do uprawnień takich jak SEND_SMS, READ_PHONE_STATE i ERASE_PHONE.

Szkodnik instaluje również Tora, łączy się z serwerem http;//pc35hiptpcwqezgs.Onion i wysyła wiadomość SMS na numer telefonu irańskiego, ujawniając położenie telefonu. Heimdal Security ostrzega, że ​​Mazar Bot może:

• tworzyć backdoor do smartfonów Android, umożliwiający pełną kontrole i monitorowanie;
• wysłać SMS na numery premium, co naraża na poważne koszta finansowe;
• czytać wiadomości SMS, co oznacza, że ​​może również odczytywać kody uwierzytelniające przesyłane w ramach mechanizmów dwuskładnikowego uwierzytelniania, używane również przez aplikacje bankowości elektronicznej;

Istnieje ryzyko ataku man-in-the-middle (używając proxy Polipo) oraz włamania do Chroma.

Co ciekawe, szkodnika nie można zainstalować na telefonach skonfigurowanych do używania języka rosyjskiego. Mazar Bot nie jest niczym nowym. Już w listopadzie był promowany i sprzedawany w Dark Webie. Natomiast to jego pierwsze zauważone użycie.

źródło: http://betanews.com

tłum.: Piotr Kudrys

Marianna Pacut

Redaktorka Net Complex Blog