Tehnologija Vesti

Novi Android malver koristi Google Firebase Cloud Messaging za zarazu uređaja: Izveštaj

Istraživači Cisco Talos-a navode da uz pomoć Google FCM-a aplikacija za učitavanje može da primi zlonamerni paket koji šalje DoNot komandni centar u obliku veze, koju zaražena aplikacija zatim može da pokrene kako bi hakeru dala pristup uređaju.

Ne, DoNot Firestarter, Android, Malver, Cisco Talos, DoNot Firestarter malver, Android malver, DoNot Firestarter Android malver, Ne Firestarter Cisco, DoNot Firestarter infekcija, Ne Firestarter Google, Google Firebase Cloud Messagingransomware napadi, sophos izveštaj napadi ransomware, napadi ransomware 2021, sophos 2021 izveštaj o pretnji

Istraživači sajber pretnji u kompaniji Cisco Talos otkrili su novi malver pod nazivom DoNot Firestarter na Androidu. Hakeri koriste sopstvenu Google-ovu Firebase Cloud Messaging infrastrukturu za kontrolu i isporuku zlonamernog softvera korisnicima koji ništa ne sumnjaju.



Prema istraživačima, Google-ova infrastruktura omogućava hakerima da sakriju svoj malver stvarnim internet saobraćajem i da budu ciljani na personalizovan način. Zbog toga je bilo teško otkriti malver. Dodaju da je DoNot Firestarter posebno usmjeren na vladine zvaničnike u Pakistanu i nevladine organizacije koje rade u Kašmiru.

DoNot Firestarterov učitavač je skriven unutar aplikacije koju kada korisnik instalira, zarazi korisnikov telefon malverom. Nakon što se aplikacija pokrene, učitavač će pokrenuti dodatni kod koji preuzima korisni teret, na osnovu informacija sa uređaja.



Aplikacija prenosi podatke sa uređaja uključujući lične i geografske informacije u DoNot-ov komandni centar. Ovi podaci zatim pomažu hakerima da identifikuju korisnika i odluče da li da zaraze uređaj korisnim opterećenjem ili ne. Istraživači Cisco Talos-a navode da uz pomoć Google FCM-a aplikacija za učitavanje može da primi zlonamerni paket koji šalje DoNot komandni centar u obliku veze, koju zaražena aplikacija zatim može da pokrene kako bi hakeru dala pristup uređaju.



Oni navode da čak i ako komandni centar bude uklonjen, Google FCM pristup će omogućiti grupi da zarazi uređaje koristeći drugi komandni centar. Zbog toga je veoma teško izvaditi utovarivač.

Istraživači navode da je jedini način da se neutrališe zlonamerni softver da se Google uključi i ukloni zaraženi FCM nalog zajedno sa komandnim centrom. Istraživači nisu objavili početnu listu zaraženih aplikacija.