セキュリティ研究者のルーカス・ステファンコ氏は、この新たなマルウェアについて初めて警告した。 WhatsApp の履歴や連絡先の詳細にアクセスできるだけでなく、携帯電話のカメラも制御できる必要があります。 IT セキュリティ会社である G DATA Software AG は、Android スパイウェアを詳しく調査しました。犯人の名前は「Android.Trojan-Spy.Buhsam.A」。
訓練中のトロイの木馬
しかし、G DATA が報じているように、このマルウェアはまだ開発中か、単に「プログラムが不十分」であるかのどちらかのようです。従来のマルウェアは、検出を回避するためにあらゆる手段を講じます。一方、この新しいトロイの木馬は、ユーザーが対応するサービスを開始するとすぐに、「サービスが開始されました」というメッセージをユーザーに送信します。セキュリティ専門家は、未完成のウイルスが流通する可能性があると説明しています。これは部分的には作成者の不注意によるものですが、開発者がプログラムをテストするために使用するツールによるものである可能性もあります。
スパイウェアは http の代わりに WebSocket を使用します
さまざまな同様のプログラムとは対照的に、「Android.Trojan-Spy.Buhsam.A」は、http 経由で送信する C&C サーバーへの接続を確立しません。代わりに、このトロイの木馬は、いわゆる Web ソケットを使用して接続を長時間維持します。この手順により、感染したデバイスとの通信が容易になるだけでなく、ヘッダー ファイルの送信も節約できるため、ソフトウェアの作成者にとっては明らかな利点があります。その結果、データ量の消費が少なくなるため、ウイルスが自身を偽装しやすくなります。
このトピックについてさらに詳しく:
- ハッカーへの招待: これが、ラップトップを常にシャットダウンする必要がある理由です
- ハッカーは USB ケーブルを使用してマルウェアを拡散する可能性がある
感染したスマートフォンから提供される情報の量に応じて、スパイはさまざまなモジュールを読み込む可能性があります。このようにして、マルウェアは、とりわけ、WhatsApp データベース全体を読み取り、攻撃者の対応する C&C サーバーに送信することを管理します。このスパイウェアの開発状況を示すもう 1 つの兆候は、ブラウザ データにもアクセスできるという事実ですが、ここでは設定されているブックマークにのみアクセスします。
これを行うために、被害者のスマートフォンから JSON オブジェクトを要求し、高度な開発レベルがあれば、ブックマークに加えてブラウザの履歴などのデータを読み出すことができます。ただし、マルウェアは現在の段階ですでにユーザーの保存された連絡先にアクセスできます。