محققان امنیتی تروجان اندرویدی جدیدی را شناسایی کردند که می تواند اطلاعات زیادی را از دستگاه آلوده به سرقت ببرد. این بدافزار KevDroid نام داشته و می تواند پیام ها، تاریخچه ی تماس های تلفنی و فهرست مخاطبان را به سرقت ببرد. همچنین این تروجان اندرویدی قادر است تماس های تلفنی را ضبط کند. تاکنون دو نسخه از این بدافزار شناسایی شده است.
یکی از نسخههای بدافزار، از آسیبپذیری CVE-2015-3636 بهرهبرداری میکند تا به دسترسی ریشه برسد و ضبط تماسهای تلفنی در هر دو نسخه از بدافزار بکسان بوده و برای بدست آوردن این قابلیت از یک پروژهی متنباز در گیتهاب استفاده میکنند. وقتی دستگاهی به نسخهی اولیه بدافزار KevDroid آلوده شد، این بدافزار میتواند اطلاعاتی مانند برنامههای نصبشده، شماره تماس، پیامکهای دریافتی، تاریخچهی تماسها، مکان، فهرست مخاطبان، ایمیلها و تصاویر را بدست آورد.
نسخهی دوم از این بدافزار دارای اندازهی بزرگتری بوده و بر روی URL یکسانی میزبانی میشود و به نظر میرسد برای ذخیرهسازی دادهها از پایگاه دادهی SQLite استفاده میکند. این نسخه، قابلیتهای نسخهی اول را دارا بوده و همچنین قابلیت سرقت اطلاعات وبسایتها، ضبط دوربین و ویدئو، سرقت فایل و بدست آوردن دسترسی ریشه را نیز دارا میباشد.
یک فایل ELF همراه برنامهی اندرویدی تعبیه شده و سعی میکند از آسیبپذیری CVE-2015-3636 بهرهبرداری کند. کدهای مربوط به این بهرهبرداری بر روی گیتهاب موجود است. این بدافزار با بدست آوردن دسترسیهای سطح بالا، میتواند عملیات پیچیدهتری مانند سرقت فایلها از برنامههای کاربردی دیگر را اجرا کند.
مهاجمان با آلوده کردن دستگاههای اندرویدی به این بدافزار میتوانند به اطلاعات حساسی مانند گواهینامهها و اطلاعات کارتهای بانکی قربانی دسترسی داشته باشند. اگر دستگاه آلوده در یک محیط اداری باشد، مهاجم میتواند به راحتی در داخل سازمان به جاسوسی بپردازد.
محققان زمانی که سرور دستور و کنترل این بدافزار اندرویدی را مورد بررسی قرار میدادند، با یک تروجان ویندوزی با نام PubNubRAT مواجه شدند. این بدافزار ویندوزی، از شبکهی جریان دادهی عمومی PubNub به عنوان دستور و کنترل استفاده کرده و برای ارسال دستورات به دستگاههای آلوده نیز از واسطهای برنامهنویسی PubNub استفاده میکند. استفاده از سرویسهای قانونی برای ارتباطات با سرور دستور و کنترل امروزه بسیار رایج شده و شناسایی عملیات مخرب را برای سیستمهای امنیتی مشکل میسازد.
در این تروجان ویندوزی، یک فایل RTF تلاش میکند از آسیبپذیری CVE-2017-11882 در آفیس با استفاده از یک شی Microsoft Equation بهرهبرداری کند که برای آلوده کردن دستگاه مورد استفاده قرار میگیرد. این سند آفیس به زبان کرهای نوشته شده و حاوی اطلاعاتی در مورد بیتکوین و چین است. وقتی دستگاه به این بدافزار ویندوزی آلوده شد، بدافزار میتواند فایلها را به سرقت ببرد، برنامههایی را دانلود و اجرا کند، پردازهها را خاتمه داده و از صفحهی نمایش عکس بگیرد.