Истраживачи из "SonicWall Capture Labs" су упозорили да малвер користи познате иконе Андроид апликација да би се корисници намамили да инсталирају злонамјерне апликације.

Како се апликације дистрибуирају тренутно није јасно. Међутим, када се апликације инсталирају на телефоне, захтјевају од корисника да им дају дозволе за услуге приступачности и АПИ администратора уређаја. Добијање ових дозвола омогућава лажној апликацији да преузме контролу над уређајем, што омогућава извођење низа радњи у распону од крађе података до инсталирања малвера а да жртве то не примјете.

Малвер се послије инсталације повезује са сервером за команду и контролу (Ц2) да би добио инструкције, што му омогућава приступ листама контаката, СМС порукама, евиденцијама позива, листи инсталираних апликација, слање СМС порука, отворање страница у веб претраживачу и укључивање свјетла камере.

"Phishing" УРЛ-ови опонашају странице за пријаву за познате сајтове као што су Фејсбук, ГитХуб, Инстаграм, ЛинкедИн, Мајкрософт, Нетфликс, ПејПал, Протон Маил, Снепчет, Тумблр, X, ВордПрес и Јаху.

Пратите нас и путем Вибера