Os cibercriminosos estão controlando malware em dispositivos Android através de um serviço do Google que permite aos desenvolvedores para enviar mensagens para as suas aplicações, de acordo com pesquisadores de segurança do fornecedor de antivírus Kaspersky Lab.
Google Cloud Messaging (GCM) para Android permite aos desenvolvedores para enviar e receber diferentes tipos de mensagens de e para aplicativos instalados em dispositivos Android. Um desenvolvedor pode, por exemplo, enviar mensagens que contêm até 4KB de dados estruturados a partir de um servidor o desenvolvedor possui através de um servidor GCM Google prazo para todas as instalações de usuários de aplicativos GCM habilitados do desenvolvedor. As aplicações não têm sequer a ser executado em dispositivos de usuários como as mensagens recebidas serão transmitidos pelo sistema operacional Android e os aplicativos direcionados será acordado.
Os dados da mensagem GCM pode incluir links, anúncios de texto ou comandos, disse Roman Unuchek, analista sênior de malware da Kaspersky Lab, quarta-feira, em um post no blog .
Pesquisadores da empresa de antivírus já identificaram várias ameaças de malware para Android que usam GCM como um canal de comando e controle primário ou secundário.
Um deles é chamado de Trojan-SMS.AndroidOS.FakeInst.a e pode enviar mensagens de texto para números de valor acrescentado, apagar as mensagens de texto recebidas, gerar atalhos para sites maliciosos, e exibir notificações anunciando outros programas maliciosos, como aplicativos ou jogos, Unuchek úteis disse.
Kaspersky encontrou mais de 4,8 milhões de instaladores para FakeInst.a a data e, durante o ano passado, o produto antivírus móvel da empresa bloqueou mais de 160 mil tentativas de instalações deste programa Trojan, disse o pesquisador. FakeInst.a foi detectado em mais de 130 países, mas atinge principalmente os usuários na Rússia, Ucrânia, Cazaquistão e Uzbequistão, disse ele.
Outra ameaça de malware Android que usa GCM para receber comandos e actualizações é chamado de Trojan-SMS.AndroidOS.Agent.ao. Este programa de malware geralmente é disfarçado como um aplicativo pornô, mas como FakeInst.a, o seu objectivo é enviar mensagens de texto de valor acrescentado e os anúncios são exibidos na área de notificação do Android.
"No total, mais de 6.000 KMS bloqueado tenta instalar Trojan-SMS.AndroidOS.Agent.ao", disse Unuchek. "Este Trojan tem como alvo principalmente os dispositivos móveis no Reino Unido, onde 90 por cento de todas as tentativas de infecções foram detectadas."
Outros programas de malware para Android que usam GCM para efeitos de comando e controle e foram identificados por pesquisadores da Kaspersky incluem Trojan-SMS.AndroidOS.OpFake.a com mais de 1 milhão de amostras detectadas e 60.000 tentativas de infecção, Backdoor.AndroidOS.Maxit.a com mais de 40 variantes e 500 bloqueou as tentativas de instalação e Trojan-SMS.AndroidOS.Agent.az com mais de 1.000 modificações e tentativas de 1.500 instalações.
Não bloqueáveis por usuários ou programas antivírus
Um problema com a GCM é que nem os utilizadores nem programas antivírus móveis podem bloquear mensagens maliciosas recebidas por ele, porque eles são entregues pela própria OS, Unuchek disse via e-mail. "O software antivírus não pode bloquear as atividades do sistema."
A única forma de bloquear esse canal de comunicação entre os criadores de vírus e de malware é seu para bloquear as contas desenvolvedor cujas identificações estão sendo usados para registrar programas maliciosos com GCM, disse ele. "Nós já informamos Google sobre os IDs GCM detectados que são usados em malware."
Não existe atualmente um grande número de programas maliciosos que usam GCM, mas as que existem são comuns em algumas partes da Europa Ocidental, a Comunidade de Estados Independentes (CEI) e na Ásia, Unuchek disse.
GCM parece ser um instrumento muito barato e fácil para os cibercriminosos para usar, então é provável que o serviço poderia ser abusado em maior medida no futuro a menos que o bar para os cibercriminosos não é gerado superior através de contramedidas, disse o pesquisador.
Além incapacitantes IDs desenvolvedor que são encontrados para abusar do serviço de GCM, ele também pode ser uma solução para analisar ativamente mensagens GCM para conteúdo malicioso de uma forma semelhante à forma como os sistemas de detecção de intrusões analisa o tráfego de rede, Unuchek disse.
Google não respondeu imediatamente a um inquérito pedindo informações sobre os métodos que utiliza para evitar que os criadores de malware a partir de abusar do serviço de GCM.
0 comentários:
Postar um comentário