Palo Alto Network พบ Android Trojan ที่ชื่อว่า SpyDealer คอยขโมยข้อมูลภายในของ Application ชื่อดังกว่า 40 ตัวออกไป

SpyDealer เป็น Malware ที่คอยขโมยข้อมูลการคุยกันจาก application สื่อสารต่างๆ โดยใช้ Android Accessibility Service Feature และใช้ exploit จาก rooting app ที่ชื่อว่า Baidu Easy Root เพื่อให้ได้สิทธิ์ของ root มา จากนั้นก็ใช้สิทธิ์ของ root ในการฝังตัวบนเครื่องเหยื่อ

Android Trojan ดังกล่าวจะทำการควบคุมผ่าน UDP, TCP และ SMS มันสามารถขโมยข้อมูลจาก application ดังๆมากมายไม่ว่าจะเป็น  WeChat, Facebook, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo, Android Native Browser, Firefox Browser, Oupeng Brower, QQ Mail, NetEase Mail, Taobao, และ Baidu Net Disk.

เมื่อ Malware เข้าถึงเครื่องได้ จะเริ่มทำการเก็บข้อมูลส่วนตัวของเหยื่อ รวมถึง phone number, IMEI, IMSI, SMS, MMS, contacts, accounts, phone call history, location, และ Wi-Fi information. มันสามารถตอบสายที่โทรเข้ามาได้จากเบอร์ที่กำหนด,สามารถบันทึกการโทรต่างๆได้และอัดเสียงรอบๆได้ทั้งภาพและเสียง สามารถสั่งให้ถ่ายภาพได้, monitor location, และ ทำเรื่อง screenshots. เมื่อมันถูกติดตั้งไปแล้ว malware จะไม่มีการแสดงเป็น icon ออกมากในหน้าจอ แต่จะมีการ register 2 receiver เอาไว้สำหรับการดูการ boot เครื่องกับการเชื่อมต่อ network ต่างๆ เมื่อทำการลงทะเบียน receiver ทั้ง 2 ได้สำเร็จ จะกลายเป็นว่า SpyDealer จะรอคำสั่งผ่าน SMS ที่เข้ามา มันสามารถสร้าง server ในเครื่องมือถือ โดยใช้ port 39568 จากนั้นติดต่อสื่อสารกับ C&C Server อีกที

Source:: SecurityWeek