Kolejny trojan dla Androida szpieguje chińskich użytkowników

Wiadomości o aktywnych zagrożeniach | Hot news | Zagrożenia dla urządzeń mobilnych | All the news | Ostrzeżenia wirusowe

25 sierpnia 2015, Warszawa

Ostatnio analitycy bezpieczeństwa Doctor Web wykryli i przebadali nowego trojana dla Androida nazwanego Android.Backdoor.260.origin. Ten złośliwy program jest dystrybuowany wśród chińskich użytkowników i ma na celu szpiegowanie swoich ofiar. W szczególności, trojan potrafi przechwytywać wiadomości SMS, zapisywać połączenia telefoniczne, śledzić współrzędne GPS zainfekowanego urządzenia, pobierać zrzuty ekranu, a nawet zbierać dane wprowadzane przez użytkownika.

Ostatnio analitycy bezpieczeństwa Doctor Web wykryli i przebadali nowego trojana dla Androida nazwanego Android.Backdoor.260.origin. Ten złośliwy program jest dystrybuowany wśród chińskich użytkowników i ma na celu szpiegowanie swoich ofiar. W szczególności, trojan potrafi przechwytywać wiadomości SMS, zapisywać połączenia telefoniczne, śledzić współrzędne GPS zainfekowanego urządzenia, pobierać zrzuty ekranu, a nawet zbierać dane wprowadzane przez użytkownika.

screen

Android.Backdoor.260.origin posiada dość skomplikowaną architekturę swoich modułów — jego główne złośliwe funkcjonalności są wdrożone w specjalnych modułach wbudowanych w pakiet tworzący to malware. Uruchomiony po raz pierwszy, trojan wypakowuje następujące komponenty dodatkowe:

  • super,
  • detect,
  • liblocSDK4b.so,
  • libnativeLoad.so,
  • libPowerDetect.cy.so,
  • 1.dat,
  • libstay2.so,
  • libsleep4.so,
  • substrate_signed.apk,
  • cInstall.

Następnie próbuje uruchomić z użyciem uprawnień root'a plik binarny cInstall (wykrywany przez Dr.Web jako Android.BackDoor.41). Jeśli próba powiedzie się, ten złośliwy moduł umieszcza w folderach systemowych kilka wcześniej rozpakowanych plików i próbuje w ukryty sposób zainstalować narzędzie nazwane “Substrate”. Zwiększa ono funkcjonalność aplikacji i jest używane przez Android.Backdoor.260.origin do przechwytywania wprowadzanych danych. Jeśli trojan nie uzyska uprawnień root'a, to wówczas najprawdopodobniej, nie będzie w stanie zainstalować wymaganych komponentów. W rezultacie malware nie będzie w stanie w prawidłowy sposób realizować większości swoich funkcji.

Gdy wszystkie moduły zostaną zainstalowane, Android.Backdoor.260.origin usuwa swój utworzony wcześniej skrót i uruchamia swoją złośliwą usługę nazwaną PowerDetectService. Usługa ta uruchamia złośliwy moduł o nazwie libnativeLoad.so, który został dodany do bazy wirusów Dr.Web pod nazwą Android.BackDoor.42 i moduł Substrate (wykrywany przez Dr.Web jako (Tool.Substrate.1.origin ). Właściwie to narzędzie nie jest na chwilę obecną złośliwe i może być łatwo pobrane z Google Play, jednakże, cyberprzestępcy zmodyfikowali oryginalną aplikację i wbudowali jej nową wersję do Android.Backdoor.260.origin. W rezultacie to narzędzie stało się potencjalnie niebezpieczne dla użytkowników urządzeń mobilnych.

Komponent libnativeLoad.so uruchamia plik “wykrywacza” (Android.BackDoor.45), który inicjuje pracę modułu binarnego 1.dat (Android.BackDoor.44). Z kolei ten moduł aktywuje bibliotekę libsleep4.so (Android.BackDoor.46), która w sposób ciągły pobiera zrzuty ekranu i przechwytuje dane wprowadzane przez użytkownika, oraz bibliotekę libstay2.so (Android.BackDoor.43), której celem jest wykradanie danych z listy kontaktów i monitorowanie wiadomości SMS i wiadomości wymienianych poprzez aplikację QQ.

Co więcej, komponent 1.dat potrafi odbierać pewną ilość komend z serwera kontrolno-zarządzającego, spośród których można wymienić następujące:

  • DOW — pobieranie pliku z serwera
  • UPL — ładowanie pliku na serwer
  • PLI, PDL, SDA — aktualizacja złośliwych modułów i ustawień
  • DIR — uzyskanie listy plików obecnych w określonym folderze
  • DTK — zapisanie zawartości określonego folderu do pliku
  • OSC, STK — uruchomienie wyszukiwania określonego pliku lub folderu
  • OSF — przerwanie wyszukiwania określonego pliku
  • DEL — usunięcie określonego pliku
  • SCP — pobranie zrzutu ekranu
  • BGS — aktywowanie mikrofonu i rozpoczęcie nagrywania
  • GPRS — rozpoczęcie śledzenia współrzędnych GPS

Warto zauważyć, że gdy niektóre polecenia są wykonywane przez moduł 1.dat jako swoje własne, to inne komendy są realizowane z pomocą innych złośliwych bibliotek, które blisko komunikują się ze sobą poprzez gniazda UNIX używając następujących dwubajtowych komend:

  • 0x2633 — rozpoczęcie nagrywania z użyciem wbudowanego mikrofonu,
  • 0x2634 — zatrzymanie nagrywania,
  • 0x2635 — aktualizacja pliku konfiguracyjnego do zapisu dźwięku,
  • 0x2629 — kopiowanie listy kontaktów,
  • 0x2630 — kopiowanie listy kontaktów,
  • 0x2631 — kopiowanie wiadomości SMS,
  • 0x2632 — kopiowanie dziennika połączeń,
  • 0x2628 — przekazywanie informacji o lokalizacji urządzenia na serwer,
  • 0x2532 — przekazywanie informacji o nazwie procesu aktualnie używanej aplikacji,
  • 0x2678 — ładowanie na serwer danych wprowadzanych przez użytkownika.

Po raz kolejny analitycy bezpieczeństwa Doctor Web ostrzegają użytkowników przed instalowaniem aplikacji pobranych z niepewnych źródeł. Co więcej, chcielibyśmy przypomnieć o konieczności ochrony urządzeń mobilnych z użyciem niezawodnego oprogramowania antywirusowego. Sygnatury Android.Backdoor.260.origin i jego komponentów zostały dodane do bazy wirusów Dr.Web, tym samym te złośliwe programy nie stanowią zagrożenia dla użytkowników Antywirusów Dr.Web dla Androida

0
Latest All news