Onderzoekers hebben Android-malware ontdekt die besmette telefoons als proxy kan gebruiken. De malware wordt Mirax genoemd en is een Remote Access Trojan (RAT) en banking Trojan. Mirax wordt sinds december vorig jaar op underground fora aangeboden. Anders dan gebruikelijk wordt Mirax alleen gedistribueerd via een zeer exclusief model dat beperkt is tot een klein aantal partners, aldus securitybedrijf Cleafy.
De malware wordt via advertenties verspreid die naar een malafide website wijzen. Deze website claimt een IPTV-applicatie aan te bieden. In werkelijkheid wordt er een malafide APK-bestand aangeboden. Zodra gebruikers dit bestand installeren wordt de Mirax-malware op het toestel actief. De malware kan allerlei gegevens van het toestel stelen, zoals inloggegevens, en de telefoon op afstand bedienen.
Een opvallende eigenschap van de malware is dat die besmette telefoons als proxy kan gebruiken. Hiervoor maakt de malware gebruik van een SOCKS5-proxy die over een WebSocket-gebaseerd kanaal multiplexing implementeert. Dit maakt het mogelijk om meerdere verbindingen via één kanaal te ondersteunen.
Volgens Cleafy is het gebruik van een SOCKS5-proxy in een Android RAT een nieuwe ontwikkeling. De onderzoekers merken op dat de malware deze functionaliteit nog niet heeft gebruikt, maar stellen dat het interessant is om te overdenken waarom deze functionaliteit aan een RAT is toegevoegd en wat de gevolgen kunnen zijn voor doelwitten als banken en andere financiële instellingen. Zo kan een aanvaller die toegang tot de telefoon heeft via de proxyverbinding het internet benaderen vanaf een legitiem ip-adres, wat tot allerlei aanvallen kan leiden, zoals bruteforce-aanvallen en ddos-aanvallen.
Cleafy meldt dat de malware zich vooral op Spaanstalige gebruikers richt maar dat de malware zich snel verspreidt en mogelijk ook andere landen als doelwit heeft.
Stap in de rol van Senior Information Security Officer in Rotterdam waar je iedere dag zichtbaar impact maakt op hoe we onze organisatie beschermen. Klaar om verder te lezen en te ontdekken waar jij het verschil kunt maken?
Als Medior Information Security Officer in Rotterdam versterk je onze digitale veiligheid in een organisatie die volop in cloudtransitie is. Je werkt met moderne cloud technologie én uitdagende legacy. Krijg jij energie van échte impact? Dan is dit jouw plek.
Bron: Security.nl
Onderzoekers hebben Android-malware ontdekt die besmette telefoons als proxy kan gebruiken. De malware wordt Mirax genoemd en is een Remote Access Trojan (RAT) en banking Trojan. Mirax wordt sinds december vorig jaar op underground fora aangeboden. Anders dan gebruikelijk wordt Mirax alleen gedistribueerd via een zeer exclusief model dat beperkt is tot een klein aantal partners, aldus securitybedrijf Cleafy.
De malware wordt via advertenties verspreid die naar een malafide website wijzen. Deze website claimt een IPTV-applicatie aan te bieden. In werkelijkheid wordt er een malafide APK-bestand aangeboden. Zodra gebruikers dit bestand installeren wordt de Mirax-malware op het toestel actief. De malware kan allerlei gegevens van het toestel stelen, zoals inloggegevens, en de telefoon op afstand bedienen.
Een opvallende eigenschap van de malware is dat die besmette telefoons als proxy kan gebruiken. Hiervoor maakt de malware gebruik van een SOCKS5-proxy die over een WebSocket-gebaseerd kanaal multiplexing implementeert. Dit maakt het mogelijk om meerdere verbindingen via één kanaal te ondersteunen.
Volgens Cleafy is het gebruik van een SOCKS5-proxy in een Android RAT een nieuwe ontwikkeling. De onderzoekers merken op dat de malware deze functionaliteit nog niet heeft gebruikt, maar stellen dat het interessant is om te overdenken waarom deze functionaliteit aan een RAT is toegevoegd en wat de gevolgen kunnen zijn voor doelwitten als banken en andere financiële instellingen. Zo kan een aanvaller die toegang tot de telefoon heeft via de proxyverbinding het internet benaderen vanaf een legitiem ip-adres, wat tot allerlei aanvallen kan leiden, zoals bruteforce-aanvallen en ddos-aanvallen.
Cleafy meldt dat de malware zich vooral op Spaanstalige gebruikers richt maar dat de malware zich snel verspreidt en mogelijk ook andere landen als doelwit heeft.
Stap in de rol van Senior Information Security Officer in Rotterdam waar je iedere dag zichtbaar impact maakt op hoe we onze organisatie beschermen. Klaar om verder te lezen en te ontdekken waar jij het verschil kunt maken?
Als Medior Information Security Officer in Rotterdam versterk je onze digitale veiligheid in een organisatie die volop in cloudtransitie is. Je werkt met moderne cloud technologie én uitdagende legacy. Krijg jij energie van échte impact? Dan is dit jouw plek.
Bron: Security.nl