На хоризонта се появи нова заплаха за потребителите на операционната система на Google за мобилни устройства Android. Информация от Trustlook Labs сочи, че новият троянец краде потребителски данни от месинджър приложения като Facebook, Skype и Twitter.
Троянецът не е сложен и има малко възможности, но е доста ефективен. След като приложението бъде заразено, зловредният файл се опитва да модифицира /system/etc/install-recovery.sh файла, за да може да подсигури стартирането си всеки път щом бъде стартиран месинджърът. Откраднатата информация бива качена на отдалечен сървър, чиито IP адрес бива взет от локален конфигурационен файл.
Специалистите от Trustlook Labs обясняват, че новият троянец има свойството много добре да се замаскира и да избягва да бъде засечен. Той много добре скрива конфигурационния си файл и част от модулите си, което го прави трудно откриваем за антивирусните програми. Това става чрез използването на дебъгер и на anti-emulator техники против откриване, което пречи на извършването на динамичен анализ върху него. Обратното (реверсивно) инженерство в случая също е затруднено, защото троянецът крие стрингове в кода си.
Списъкът с приложения, които могат да бъдат да бъдат заразени и подслушвани е следният:
Facebook Messenger
Twitter
Viber
Skype
Telegram Messenger
BeeTalk
Tencent WeChat
Coco
Weibo
Momo
TalkBox Voice Messenger
Voxer Walkie Talkie Messenger
Gruveo Magic Call
Line
Името на новия троянец е com.android.boxa и се счита, че разпространението му е започнало в Китай, защото е открит в китайско приложение, си име Cloud Module.
