Forskare på Cisco Talos har upptäckt en ny trojan vars syfte är att infektera och ta kontroll över Android-mobiler. Enligt forskarna är GPlayed fortfarande på teststadiet, men den utgör redan ett allvarligt hot. Trojanen är anpassningsbar och sofistikerad på ett sätt som inte setts tidigare, bland annat kan den utöka sin funktionalitet genom tilläggsmoduler utan att koden behöver kompileras om eller att paketet behöver uppdateras, skriver Bleeping Computer.

GPlayed kamouflerar sig som Google Play.
Foto: CiscoGPlayed kamouflerar sig som Google Play.

Trojanens operatör kan också injicera skript och skicka Dotnet-kod till den infekterade Android-mobilen, kod som GPlayed sedan kan sammanställa och exekvera. GPlayed är utvecklad med verktyget Xamarin för mobilappar och använder en DLL kallad eCommon som ”innehåller supportkod och plattformoberoende strukturer”, skriver forskarna på Cisco Talos i sin rapport. GPlayeds kod kan migreras från desktopplattformar till mobilplattformar, vilket gör den till ett slags ”hybridhot”.

Läs också: Ny skadlig kod sprider sig genom Facebook Messenger

Trojanen kamouflerar sig på mobilen som Google Play-appen, men en snarlik ikon, och under namnet ”Google Play Marketplace”. GPlayed frågar efter en räcka tillåtelser, inklusive "BIND_DEVICE_ADMIN", vilket ger trojanen total kontroll över mobilen som gör att den kan spionera, komma över data och ta över administrativa funktioner.

GPlayed tillskansar sig många rättigheter.
Foto: CiscoGPlayed tillskansar sig många rättigheter.

Utöver de ”förväntade” funktionerna som att komma över meddelanden och kontakter, skicka sms och ringa samtal, kan trojanen även visa ussd-meddelanden (Unstructured Supplementary Services Data, liknar sms med med öppna datasessioner), starta appar, radera mobilen, kapa webbtrafik med så kallade webinjects, samla information om kreditkort, och ändra mobillåsets lösenord.

GPlayed kan också injektera Javascript vilket ger operatörerna möjlighet att stjäla känslig information från formulär på de flesta webbsidor.

Läs också: Google+ stängs – kan ha läckt 500 000 konton

”Detta är en fullfjädrad trojan med en kapacitet som sträcker sig från banktrojaner till fullskaliga spiontrojaner. Det betyder att den kan göra allt från att kapa inloggningar till banker till att övervaka mobilens position”, skriver forskarna på Cisco Talos.

Så fort trojanen installerats startar den olika timers för att initiera operationer som att pinga operatörens C2-server (command and control), slå på wifi om det är avslaget, och registrera mobilen på operatörernas server. Den fortsätter med att skicka information om mobilen, och be om fler admin-privilegier, vilket, om inte förr, borde få användaren att haja till.

GPlayed ber om fler rättigheter.
Foto: CiscoGPlayed ber om fler rättigheter.
GPlayed ber om fler rättigheter.
Foto: CiscoGPlayed ber om fler rättigheter. 

Forskarna påpekar att den version av GPlayed de hittat och undersökt är en ryskspråkig version, men den kan enkelt modifieras till andra språk. Trojanens modulära uppbyggnad gör det svårt att skapa profiler som ett motmedel, och det medför också att den kan ta bort normala restriktioner för onormala skadliga beteenden.

Byt erfarenheter inom programmering med branschkollegor på Code Night #13 – Säkerheten sitter i koden. Läs mer och boka din plats här »