Lookout Security ostrzega przed złośliwym oprogramowaniem na Androida podszywającym się pod narzędzie ochrony prywatności, a dokładniej jako narzędzie do zarządzania reputacją online. SocialPath udaje, że powiadamia użytkownika za każdym razem, gdy jego zdjęcie zostanie przesłane do Internetu. Zamiast tego kradnie jego dane.

Wariant programu został znaleziony pod nazwą „Save Me” w Google Play, ale został tam usunięty na czubku Lookout. Infekcja jest zatem możliwa tylko wtedy, gdy użytkownik zgodził się na instalację z innych źródeł w ustawieniach Androida.

Według Lookout wersja Google Play miała nieco inny krój i udawała usługę tworzenia kopii zapasowych, która tworzy kopie zapasowe zdjęć i filmów. Ich obietnica: „Jeśli zgubisz smartfon, przynajmniej zawartość nadal tam jest”.

Do tej pory program trafił głównie do użytkowników z Sudanu, gdzie rozprzestrzenia się za pośrednictwem kampanii spamowej w sieciach społecznościowych, takich jak Twitter i komunikatorach, takich jak WhatsApp. Użytkownik otrzymał rzekome odniesienie do jego prywatnego zdjęcia wraz z krótkim linkiem Bit.ly. Lookout zbadał te linki i zarejestrował 5961 kliknięć w jednym przypadku, większość z nich z Libanu, a następnie z Sudanu i Omanu. Jest to obecnie najbardziej rozpowszechnione szkodliwe oprogramowanie w tych krajach, ale także w Gwinei Równikowej, Burkina Faso, Liberii i Malezji. Analiza kodu sugeruje deweloperów z obszaru arabskojęzycznego.

Podczas instalacji użytkownicy muszą podać wiele danych, w tym imię i nazwisko, adres e-mail, numer telefonu, miejsce zamieszkania oraz portret, który podobno jest niezbędny do identyfikacji. BootStartUpReceiver następnie inicjuje usługę zaplecza i łączy się z serwerem poleceń. Oprócz żądanych danych wysyła mu również wszystkie kontakty, wiadomości SMS, rejestry połączeń i informacje o urządzeniu.

Podczas rejestracji szkodnik nadal wyświetla ikonę w programie uruchamiającym, ale następnie usuwa ją ponownie, aby pozostać ukrytym na urządzeniu. Na polecenie serwera dowodzenia może zadzwonić na dowolny numer i rozłączyć się ponownie po określonym czasie. Lookout postrzega to w połączeniu z usługami premium jako potencjalne źródło dochodu. Historia połączeń jest następnie usuwana.

Wskazówka: na ile masz pewność co do bezpieczeństwa? Sprawdź swoją wiedzę - za pomocą 15 pytań na stronie silicon.de