PlainGnome Android trojan er en stjæler-trojaner, der ikke kun er i stand til at stjæle information, men også har spionagefunktioner. Malwaren menes at blive drevet af en russisk statsstøttet trusselsaktør kendt som Gamaredon. Specifikt er det forbundet med Den Russiske Føderations føderale sikkerhedstjeneste (FSB). Målene er russisktalende brugere i tidligere USSR-stater, sandsynligvis højt profilerede personer.
PlainGnome Android trojan er en meget alvorlig infektion med funktioner, der gør det muligt for den i det væsentlige at spionere på brugere. Malwaren ser ud til at være rettet mod russisktalende brugere i tidligere USSR-stater som Kasakhstan, Usbekistan og Tadsjikistan. Det er værd at understrege, at de ondsindede aktører, der driver denne malware, er russiske statsaktører, der specifikt er forbundet med FSB.
Malwaren ser ud til at blive spredt via falske billedgalleri-apps. Når brugernes enheder bliver inficeret, skal malwaren først narre brugerne til at give tilladelsen “REQUEST_INSTALL_PACKAGES”. Hvis tilladelsen gives, viser malwaren derefter et nyt vindue med en knap, der siger “katalog” i Rusland. Hvis brugere klikker på knappen, kan malwaren starte fuldt ud.
Malwarens række af muligheder er meget alarmerende. Det kan stjæle en masse information, herunder enhedsoplysninger, oplysninger om mobiludbyder, kontakter, opkaldslogger (telefonnumre, kontaktnavne, indgående/udgående opkald, dato/klokkeslæt og varighed), meddelelser, modtagne/sendte SMS (dato/klokkeslæt, modtagere, SMS-indhold), placering og browserhistorik. Hvis det ikke er nok, optager malwaren også omgivende lyd og kan tage billeder. Det betyder, at de PlainGnome Android trojan i det væsentlige kan spionere på brugere og optage samtaler. Interessant nok kan malwaren stoppe med at optage lyd, når enheden bruges, for at forhindre brugere i at bemærke mikrofonlogoet, der vises i statuslinjen, når det bruges.
Infektioner som de PlainGnome Android trojan er meget alvorlige, især fordi de drives af russiske statslige aktører.
Hvordan fordeles det PlainGnome Android trojan ?
Som al Android-malware kan den PlainGnome Android trojan distribueres på flere forskellige måder. I øjeblikket ser det dog ud til at blive spredt via vildledende billedgalleri-apps. Disse ondsindede apps kan findes i forskellige tredjeparts app-butikker og tvivlsomme downloadsider, forklædt som legitime. Dette er generelt den metode, der bruges, når ondsindede brugere målretter mod brugere i massiv skala.
Når ondsindede aktører målretter mod bestemte personer, anvender de ofte phishing og social engineering-taktikker, såsom e-mails og beskeder. Hvis de har visse personlige oplysninger om deres mål, kan disse phishing- og social engineering-forsøg være meget sofistikerede og virke meget troværdige, hvilket øger chancerne for, at målene interagerer med dem. Brugere kan støde på Android-malware, når de deltager i piratkopieringsaktiviteter, især når de downloader cracks eller ophavsretligt beskyttet indhold. Malware findes også ofte i forskellige tredjeparts app-butikker og upålidelige downloadsider.
Sådan beskytter du dig mod Android-malware
Brugere, der er mere forsigtige, når de er online, har en tendens til at inficere deres enheder betydeligt sjældnere. Det er en god idé at udvikle gode browsingvaner, hvoraf nogle omfatter:
Undersøgelse af apps før download
Det er meget vigtigt at undersøge apps, før du installerer dem. Brugere bør undersøge udvikleren, tjekke anmeldelserne og omhyggeligt gennemgå de tilladelser, appen anmoder om. Brugere bør aldrig downloade nogen apps fra nogen kilder uden at dobbelttjekke alle oplysninger.
Brug af legitime butikker/platforme til at downloade apps
Vi anbefaler på det kraftigste, at brugerne bruger officielle app-butikker, såsom Google Play Butik til at downloade apps. Tredjeparts app-butikker mangler ofte ordentlig sikkerhed, hvilket gør det meget nemt for ondsindede brugere at uploade ondsindede apps forklædt som legitime. Google Play Butik er den sikreste mulighed for at downloade apps på grund af de sikkerhedsforanstaltninger, der er designet til at forhindre malware. Selvom noget malware lejlighedsvis kan slippe gennem Googles forsvar, er dette ret sjældent sammenlignet med de risici, der er forbundet med tredjeparts app-butikker.
Gennemgår altid omhyggeligt de ønskede tilladelser
En god måde at undgå Android-malware på er at grundigt evaluere de tilladelser, som apps anmoder om, før du giver dem. Når en app er installeret, beder den typisk om specifikke tilladelser for at fungere korrekt. Det er dog meget vigtigt, at brugerne altid er meget forsigtige, når de giver disse tilladelser. For eksempel, hvis en bruger downloader et spil, der beder om tilladelse til at få adgang til deres beskeder eller foretage opkald, bør dette være et øjeblikkeligt rødt flag.
Hold enheden opdateret
Det er afgørende at holde alle enheder opdateret, da opdateringer adresserer kendte sårbarheder, der kan udnyttes af ondsindede aktører. Det er vigtigt at installere disse opdateringer, så snart de bliver tilgængelige for at beskytte enheder.
Ikke at klikke på ukendte links eller åbne uopfordrede vedhæftede filer i e-mails
Dette er relevant for alle brugere, uanset hvilken type enhed de bruger. Det er vigtigt at udvise forsigtighed med uopfordrede SMS-beskeder, e-mails eller anden kommunikation, der indeholder links eller vedhæftede filer. Husk, at legitime offentlige myndigheder (såsom retshåndhævende myndigheder og skattemyndigheder), banker og lignende institutioner aldrig sender beskeder eller e-mails med klikbare links. Det er tilrådeligt at undgå at klikke på ukendte links og afstå fra at åbne uopfordrede vedhæftede filer i e-mails uden først at kontrollere, at de er sikre. Dette kan gøres ved at scanne dem med et antivirusprogram eller bruge VirusTotal .