Přichází nová generace malwaru pro chytré telefony

Hned na úvod bych chtěl podotknout, že byť se jedná jen o “proof of concept”, není přiliš těžké si představit, jakým směrem se může vývoj malwaru pro chytré telefony dále ubírat.

Soundminer je specializovaný trojan (sensory malware) pro mobilní telefony s operačním systémem Google Android, který je schopen extrahovat z komunikace, kterou vede klient např. se systémem IVR své banky, číslo kreditní karty nebo PIN a to pak může být pomocí dalšího trojana zvaného Deliverer zasláno na server útočníka.

To, že je Soundminer schopen přes mikrofon rozpoznat stisknuté klávesy, je dáno tím, že DMTF (Dual-Tone Multi-Frequency) systémy přehrávají uživateli jako potvrzení dva tóny, které odpovídají právě stisknuté klávese. Ačkoliv jdou tyto tóny pouze do reproduktoru, jsou přenášeny celou vnitřní konstrukcí telefonu a díky specifickým frekvencím je možné je detekovat a pomocí speciálního pro tento účel upraveného Goertzelova algoritmu je možné je i správně interpretovat a převést na číslo.

Pro rozpoznávání řeči používá Soundminer aplikaci PocketSphinx vyvinutou na Carnegie Mellon University a dále pro tento účel napsanou mezivrstvu, která zajišťuje komunikaci mezi ním a Soundminerem. Konkrétně jde o to, že Soundminer podstrčí PocketSphinxu jen tu část hovoru, ve které je sdělována citlivá informace, např. číslo karty a jen tu PocketSphinx anlayzuje. Není žádoucí analyzovat celý hovor, protože tato analýza je náročná na procesorový čas a pokud nemá uživatel pojmout podezření, musí vše proběhnout velice rychle.

Soudminer na základě fingerprintu IVR použije odpovídající šablonu, a analyzuje pak jen tu část, ve které očekává, že budou sdělovány citlivé údaje jako již zmíněné číslo karty.

Ať už Soundminer získá citlivé údaje analýzou stisknutých kláves nebo přenášeného hlasu, musí tyto informace nějakým způsobem poslat útočníkovi. Kdyby se měla přenášet celá nahrávka, tak by se muselo přenést až několik desítek KB za minutu a toho by si již uživatel určitě všiml. V případě, že by bylo infikováno větší množství smartphonů, kladlo by to značné nároky na komunikační infrastrukturu. Ale vzhledem k tomu, že výsledkem analýzy je jen několik málo bitů, není to žádný problém. Přenést 16místné číslo karty můžeme např. tak, že zavoláme browser s parametrem http://jmenoserveru?cn=N, kde N je číslo kreditní karty, které navíc může být zakódované.

V takovém případě by si ale uživatel jistě všiml, že se mu otevřelo nové okno a mohl by pojmout podezření, a proto je potřeba volit jiný způsob přenosu těchto údajů. Nejlépe pomocí dalšího trojana, který je obsažen podobně jako Soundminer v nějaké atraktivní aplikaci. Způsob, jakým se budou tyto citlivé informace předávat je možné např. změnou stavů, např. hlasitosti, kdy určité úrovni hlasitosti nastavené po určitou dobu, bude odpovídat určité číslo. SoundMiner bude hlasitost nastavovat a  Deliverer ji bude číst.

Na téhle skutečnosti je zajímavé i něco jiného, a to, že každý trojan si vyžádá po uživateli jen povolení určitých na první pohled zcela neškodných operací a uživatel tak obvykle nepojme žádné podezření. Jestliže vás např. aplikace, která slouží k vytáčení telefonního čísla hlasem nebo plní funkci diktafonu, požádá o přístup k mikrofonu, tak takové oprávnění nejspíš povolíte, neboť chápete, že je potřebné k tomu, aby aplikace vůbec mohla fungovat. Stejně tak nejspíš povolíte a nainstalujete si přehrávač hudby, který požaduje přístup do internetu, aby mohl stahovat informace o právě přehrávaných skladbách. Je pravděpodobné, že kdyby vás o povolení daných operací požádala jedna jediná aplikace, tak byste ji nejspíš vůbec nenainstalovali. Jenže tyto aplikace obsahující trojana žádají o přístup k vybraným funkcím každá zvlášť, a že spolu dokáží komunikovat, o tom vy nemáte vůbec tušení.

Poznámka: Tento příspěvek jsem sepsal na základě výsledků výzkumu, který byl proveden na City University of Hong Kong a Indiana University Bloomington.

Závěr: Lze očekávat, že do budoucna se budeme setkávat se stále sofistikovanějšími útoky, které tradiční antimalwarové prostředky nebudou schopny detekovat. Řešením by mohl být antimalware, který by sledoval a vyhodnocoval chování jednotlivých aplikací, ale o tom snad někdy příště.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Přichází nová generace malwaru pro chytré telefony” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: