Steganografija omogućava hakerima da sakriju tajne informacije unutar običnih, netajnih datoteka ili poruka kako bi izbjegli otkrivanje.
Uobičajeni oblici uključuju ugrađivanje teksta u slike ili audio datoteke, a često se koristi uz enkripciju radi poboljšanja sigurnosti.
Istraživači kibernetičke sigurnosti u Kaspersky Lab-u su nedavno otkrili da Necro trojanac koristi tehnike steganografije da hakuje 11 miliona Android uređaja.
Hakovano 11 miliona Android uređaja
“Necro Trojan” je sofisticirani višestepeni Android malver koji se infiltrirao i u izvore “Google Play” i “nezvanične aplikacije” koji je zahvatio preko 11 miliona uređaja.
Ovaj maliciozni softver iskorištava popularne aplikacije kao što su “Wuta Camera”, “Max Browser” i “modifikovane verzije Spotifyja”, “WhatsApp” i “Minecraft”.
Necro koristi napredne tehnike izbjegavanja kao što je zamagljivanje pomoću “OLLVM-a”, steganografija za skrivanje korisnog opterećenja u “PNG slikama” i modularnu arhitekturu za fleksibilnost, navodi se u istraživanju .
Proces infekcije počinje s učitavačem koji komunicira sa C2 serverima , a to se često radi pomoću „Firebase Remote Config“.
Učitavač dodataka odgovoran je za preuzimanje i izvršavanje desetina dodataka, od kojih je svaki zadužen za svoju zlonamjernu svrhu.
U nastavku smo spomenuli te zlonamjerne svrhe:-
- Prikaz nevidljivih oglasa
- Izvršavanje proizvoljnih DEX datoteka
- Instaliranje aplikacija
- Otvaranje veza u skrivenim prozorima WebView
- Pokretanje JavaScript koda
- Pretplata na plaćene usluge
Necro-ovi dodaci (‘NProxy,’ ‘island’, ‘web’, ‘Happy SDK’, ‘Cube SDK’ i ‘Tap’) obavljaju zadatke u rasponu od kreiranja tunela preko uređaja žrtve do manipulisanja interakcijama s oglasima.
Mehanizam samoažuriranja pokazuje prilagodljivost zlonamjernog softvera, a ne samo da koristi refleksiju za dodavanje privilegovanih „WebView“ instanci unutar procesa što pomaže u izbjegavanju sigurnosne odbrane.
Nadgledanje aplikacije u službenoj prodavnici aplikacija je važno, o čemu svjedoči razvoj sigurnosnih prijetnji aplikacija.
Između 26. avgusta i 15. septembra širom sveta je otkriveno više od „10.000 nekro napada“, a u tim napadima Rusija, Brazil i Vijetnam su iskusili najveću stopu zaraze.
Modularna arhitektura Trojanca omogućava njegovim kreatorima da fleksibilno isporučuju ciljana ažuriranja i nove maliciozne module, dok to u potpunosti zavisi o narušenoj aplikaciji.
Upotreba „ steganografije “ je posebno vrijedna pažnje jer je to neuobičajena taktika u mobilnom malveru.
Ova kombinacija tehnika otkriva rastuću složenost mobilnih prijetnji, čineći stvarni broj zaraženih uređaja znatno višim od prvobitno procijenjenog.
Izvor: CyberSecurityNews