RedDrop face inregistrari ambientale și le trimite la serviciile de stocare în cloud controlate de atacatori !
Wandera o firmă de securitate a descoperit vulnerabilitatea existenta in aplicația CBS Sports și in site-ul pentru mobil in 2016. Ei au descoperit malware-ul când un utilizator a dat clic pe un anunț pentru motorul de căutare chinez Baidu. Dupa click pe anunt au fost redirecționati către huxiawang [dot] cn, un site de distribuție care conține pagini care încurajează utilizatorii să descarce unul din cele 53 de aplicații afectate de RedDrop. Programele afectate pretind că ajută utilizatorii să învețe o nouă limbă sau ca au alte funcționalități interesante.
După cum reiese, huxiawang [dot] cn folosește o serie de redirecționări într-o rețea de distribuire a conținutului (CDN), formată din peste 4.000 de domenii. Cei responsabili de malware au creat fără îndoială acesta retea în mod intenționat, în scopul ascunderii sursei RedDrop.
După instalarea cu succes, aplicația RedDrop solicita utilizatorilor privilegii excesive. Apoi pe baza permisiunilor excesive primite instaleaza în mod silențios șapte sau mai multe fișiere APK rău intenționate de pe serverul său de comandă și control (C & C).
Unul dintre aceste fișiere APK este un troian. Altul este un dropper capabil să instaleze alte fișiere APK. Un altul are capabilitatea de a trimite un mesaj SMS unui serviciu premium si apoi il sterge imediat de fiecare data cand utilizatorul intrerupe ecranul in timp ce interactioneaza cu aplicatia.
Aceste capacități palesc în comparație cu componenta cea mai serioasă a lui RedDrop: spyware care înregistrează sunetul dispozitivului și apoi îl trimite împreună cu datele de aplicație, informații legate de SIM și date locale precum fotografiile și contactele către folderele Dropbox și Google Drive controlate de atacatori….
Sursa : https://www.tripwire.com/