Kommentare zu folgendem Beitrag: Lesetipps: Das Wikipedia Versprechen, Daten von Parla, Android-Spyware
Thema Android-Spyware:
Die Rogue-Malware-Familie bedient sich der Dienste der Firebase-Plattform, um ihre bösartigen Absichten zu verschleiern und sich als legitimer Google-Dienst auszugeben.
Rogue nutzt die Dienste von Firebase als C&C-Server (Command and Control), was bedeutet, dass alle Befehle, die die Malware steuern, und alle von der Malware gestohlenen Informationen über die Firebase-Infrastruktur übermittelt werden.
Google Firebase umfasst ein Dutzend Dienste, die Entwicklern bei der Erstellung von mobilen und Web-Anwendungen helfen. Die Rogue-Malware nutzt die folgenden:
- “Cloud Messaging” um Kommandos von den C&C-Servern zu empfangen
- “Realtime Database” um gestohlene Daten hochzuladen vom infizierten Gerät
- “Cloud Firestore” File-Server für die gestohlenen Daten
Es gibt mehrere Accounts von Firebase-Konten, die im Code der Rogue-Malware versteckt sind:
- GUARDIAO
- PHOENIX
- SPITFIRE
- AVIRTEK
- HAWKSHAW
Um manuell feststellen zu können, ob man mit der Malware „Rogue“ infiziert ist, kann man in seinen Internet-Verbindungsprotokollen recherchieren, ob sich das Gerät mit folgenden URLs verbindet oder verbunden hatte:
- https://bald-panel.firebaseio.com
- https://hawkshaw-cae48.firebaseio.com
- https://spitfirepanel.firebaseio.com
- https://phoenix-panel.firebaseio.com
Diese vier Domains sind definitiv Adressen, unter denen sich die Rogue-Malware mit dem C&C-Server innerhalb der Google Firebase-Infrastruktur verbindet, um Kommandos anzunehmen bzw. um die gestohlenen Daten hochzuladen!!