Obişnuiam să încep articolele despre malware cu "săptămâna şi malware-ul", dar se pate că deja la 2-3 zile apare un nou pericol pe Android (şi iOS). De această dată e vorba despre un spyware cunoscut drept Predator, care poate să îţi asculte convorbirile. Avertizarea vine chiar de la Google.
Google a făcut o postare pe blogul oficial în care explică modul în care funcţionează spyware-ul proaspăt descoperit Predator. Este produs de către o companie numită Cytrox, care se află în Macedonia de Nord. Profită de o vulnerabilitate zero day descoperită în cadrul lui Chrome şi Android, care le-a permis atacatorilor să înregistreze orice sunet de pe dispozitiv. Conform Google exploit-urile 0-Day au fost folosite alături de unele n-day, iar dezvoltatorii au profitat de diferenţa de timp între momentul când unele bug-uri primesc patch, dar nu sunt semnalate ca probleme de securitate şi momentul când patch-urile sunt aplicate în tot ecosistemul Android.
Exploit-ul funcţionează astfel: ținta primeşte un email cu un link care imită un serviciu de scurtat linkuri. Dai click pe el (sau apeşi pe el pe ecranul de telefon) te va redirecţiona spre un domeniu deţinut de atacator şi care va încarca un spyware numit ALIEN, urmat de unul numit Predator. Primeşte comenzi de la Predator printr-un IPC (inter-process communication), mecanism care îi permite să captureze audio pe dispozitiv, să ascundă aplicaţii şi să adauge certificate CA pentru a se ascunde mai bine.
Pentru a îşi acoperi urmele, utilizatorii vor fi în cele din urmă duşi la site-ul la care ducea linkul de obicei. Acest tip de spyware e ţintit în mod special spre jurnalişti. Au fost până acum afectaţi zeci de utilizatori, iar problema nu e foarte răspândită, dar ce e şocant e că a funcţionat exploit-ul şi după primele patch-uri.
Atenţie pe ce link-uri prescurtate daţi click în această perioadă!
