Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Pozdrowienia z Malezji

Dodany 24 kwietnia 2013, 14:38 CEST
Tagi:

W połowie lutego 2013 roku użytkownik naszego produktu z Malezji poprosił nas o sprawdzenie aplikacji z Google Play o nazwie My HRMIS & JPA Demo stworzonej przez Nur Nazri.

Jego podejrzenia wzbudziło to, że aplikacja wymagała dużej liczby zezwoleń, mimo że jej jedyną funkcją miało być otwieranie czterech stron internetowych.

Po uruchomieniu aplikacja pokazuje te cztery przyciski:

Kliknięcie jednego z tych obrazków otwierało odpowiednią stronę w standardowej przeglądarce Androida:

Przycisk 1 otwiera http://www.bheuu.gov.my/puspanita/;

Przycisk 2 - http://www.jpa.gov.my/;

Przycisk 3 - http://www.mampu.gov.my/web/guest/;

Przycisk 4 - http://www.eghrmis.gov.my/.

Jest to jednak tylko to, co ukazuje się oczom użytkownika – za kulisami dzieje się więcej rzeczy, o których użytkownik nie ma pojęcia. Kliknięcie 2 przycisku aplikacji powoduje otwarcie strony, ale również kradzież 10 ostatnich kontaktów (nazwisk i numerów), natomiast po kliknięciu 4 przycisku aplikacja najpierw kradnie trzy najnowsze wiadomości przychodzące, a następnie otwiera stronę internetową.

W obu przypadkach dane są kradzione przy pomocy wiadomości tekstowej wysyłanej na numer 0187109971.

Szkodnik ten (a dokładnie spyware) atakuje malezyjskich użytkowników, co potwierdzają dane z naszego systemu KSN. Aplikacja My HRMIS & JPA Demo jest wykrywana przez nasze rozwiązania jako Trojan-Spy.AndroidOS.Nuhaz.a. Poinformowaliśmy już dział bezpieczeństwa Google’a o zagrożeniu w ich sklepie z aplikacjami i szkodnik został już usunięty.

PS Ten sam autor posiada również dwa inne programy w Google Play:

Aplikacje te to „legalne programy szpiegujące” wykrywane jako not-a-virus:HEUR:Monitor.AndroidOS.Crakm.a oraz not-a-virus:HEUR:Monitor.AndroidOS.Lambs.a.