Android malware gebruikt een functie van het mobiele besturingssysteem om met geïnfecteerde toestellen te communiceren. Google Cloud Messaging (GCM), zoals de door Android aangeboden dienst heet, maakt het mogelijk om kleine berichten van maximaal 4KB via de Google server naar het toestel te versturen. De berichten in het JSON-formaat bevatten gestructureerde data, zoals links, advertentiegegevens of commando's.
Om de dienst te gebruiken moet een ontwikkelaar eerst een uniek ID voor zijn applicatie ontvangen, dat wordt gebruikt om de applicatie bij GCM te registreren. Na de registratie kan de ontwikkelaar data sturen naar alle toestellen waar de geregistreerde app is geïnstalleerd. Het wordt onder andere gebruikt om de coördinaten van gestolen telefoons te bepalen en berichten over nieuwe producten te versturen.
Het Russische anti-virusbedrijf Kaspersky Lab heeft een Trojaans paard ontdekt dat GCM als Command & Control-server gebruikt om met besmette toestellen te communiceren. De malware gebruikt geïnfecteerde apparaten om dure sms-berichten te versturen, inkomende sms-berichten te verwijderen en snelkoppelingen naar kwaadaardige websites te plaatsen.
De malware is voornamelijk in Rusland, Oekraïne, Kazachstan en Oezbekistan actief. Het Trojaanse paard doet zich onder andere voor als porno app, maar bevat in werkelijkheid twee afbeeldingen die de gebruiker laten weten dat hij geen verbinding heeft. De makers van de app gebruiken GCM om het toestel opdrachten uit te laten voeren, zoals het versturen van sms-berichten.
Deze posting is gelocked. Reageren is niet meer mogelijk.