התגלתה נוזקת Android בעלת טווח ריגול רחב ביותר

חוקרים בחברת האבטחה זימפריום (Zimperium) גילו נוזקת אנדרואיד חדשה ומתקדמת, המאתרת מידע רגיש במכשירים הנגועים בה ושולחת אותו לשרתי התוקפים. לפי החוקרים, הרוגלה "מתחפשת" לעדכון תוכנה שחייבים להוריד אותו מחנות צד שלישי, ולאחר שמורידים אותה – במקום לשדרג את מערכת ההפעלה במכשיר, היא משתלטת עליו ומשיגה גישה רחבה ביותר לנתונים ולמידע השמורים בו. למעשה, זהו סוס טרויאני עם גישה מרחוק, המקבל ומבצע פקודות משרת מרוחק, והוא מספק לתוקפים פלטפורמת ריגול שמסוגלת לבצע טווח רחב ביותר של פעילויות זדוניות.

חברת האבטחה ציינה בהודעתה את היכולות האלה של הנוזקה: גניבת הודעות מיידיות; גניבת בסיס הנתונים של קובצי הודעות מיידיות; סקירה של סימניות וחיפושים בדפדפן ברירת המחדל; סקירה של סימניות והיסטוריית החיפושים בדפדפני Chrome של גוגל, Fireefox של מוזילה ודפדפן האינטרנט של סמסונג; חיפוש קבצים עם סיומות ייחודיות (כמו pdf, doc, docx, xls ו-xlsx); סקירת נתונים בלוח הגזירה; סקירת התוכן של ההתרעות; הקלטת קול; הקלטת שיחות טלפון; צילום מדי תקופה באמצעות המצלמה האחורית או הקדמית; רישום של האפליקציות המותקנות במכשיר; גניבת תמונות ווידיאו; ניטור מיקומי GPS; גניבת הודעות SMS; גניבת רשימת אנשי קשר; גניבת רישום שיחות; חדירה למידע על המכשיר, כמו אפליקציות מותקנות, שם המכשיר ונתוני האחסון שלו; הסתרת קיומה של הנוזקה במכשיר באמצעות הסתרה של האייקון שלה מתפריט המכשיר.

אפליקציות הודעות מיידיות שפגיעות לגניבת בסיס הנתונים שלהן כוללות את ווטסאפ, שמשמשת מיליוני אנשים היוצאים מתוך הנחה שהיא בטוחה יותר מאפליקציות הודעות אחרות.

החוקרים מציינים, כי הגישה לבסיסי הנתונים במכשיר הנגוע מתאפשרת רק אם לנוזקה יש גישה לקובץ המקור, ודבר זה מתאפשר כאשר מותקנת על המכשיר אחת מהגירסאות הישנות של Android.

אם הנוזקה לא משיגה גישה לקובץ המקור, היא עדיין יכולה לאסוף נתונים כמו שיחות והודעות מווטסאפ באמצעות "פיתוי" המשתמשים להתיר שירותי גישה של Android, שהם פקדים המשולבים במערכת ההפעלה ומיועדים להקל על משתמשים עם לקויות ראייה או אחרות להשתמש במכשיר באמצעות, למשל, שינוי המסך או התאמתו לתגובה קולית. ברגע ששירותי הגישה מאופשרים, האפליקציה הזדונית יכולה להשיג את התוכן ממסך הווטסאפ.

יכולת נוספת של הנוזקה היא גניבת קבצים השמורים בהתקן אחסון חיצוני. כדי להפחית את צריכת רוחב הפס, שעשוי לעורר חשד אצל הקורבן על כך שהמכשיר נגוע, הנוזקה אוספת רק את התמונות הממוזערות של הקבצים, שנפחן קטן בהרבה מהתמונות שהן מייצגות. כאשר המכשיר הנגוע מחובר ל-Wi-Fi, הנוזקה שולחת לתוקפים נתונים גנובים מכל התיקיות, וכאשר החיבור הוא סלולרי – היא שולחת נתונים בכמות מוגבלת.

עם כל יכולותיה המרובות של פלטפורמת הריגול הזאת, יש לה מגבלה אחת חשובה – ההכרח להוריד אותה מחנות צד שלישי, ולפחות בהיבט הזה משתמשים רבים יודעים שהורדת אפליקציות שלא מחנות Play של גוגל כרוכה בסיכון, ורבים מהם נמנעים מכך. עם זאת, לתוקפים עדיין יש פוטנציאל תקיפה גדול בקרב משתמשים שאין להם די ידע וניסיון והם מצליחים לפתות אותם להוריד אפליקציות מחנויות צד ג'. חיסרון נוסף שלה הוא, שכדי לאפשר את שירותי הגישה המיוחדים המאפשרים לנוזקה לפעול, על המשתמש להיות מומחה במערכת ההפעלה, ורוב המשתמשים הם לא.

גוגל סירבה להגיב על הדברים וציינה רק, שהנוזקה הזאת מעולם לא הייתה זמינה בחנות Play.