Library
My library

+ Add to library

Profile

Wróć do listy aktualności

Niebezpieczny trojan ukrywa się w oficjalnym firmware dla Androida

29 września 2015

Zazwyczaj, aby zainfekować urządzenia mobilne z Androidem, cyberprzestępcy używają dość trywialnej procedury — zmuszają swoje ofiary do samodzielnej instalacji złośliwych aplikacji. Jednakże ten algorytm nie jest jedynym, który twórcy wirusów mają do dyspozycji. Analitycy bezpieczeństwa Doctor Web wciąż kontynuują rejestrowanie nowych przypadków trojanów dla Androida, które są preinstalowane na urządzeniach mobilnych jako aplikacje systemowe, aby móc dokonywać swojej złośliwej aktywności bez wiedzy użytkownika.Ostatnio specjaliści Doctor Web zarejestrowali kolejny incydent tego typu, wywołany przez Android.Backdoor.114.

Android.Backdoor.114.origin jest znany analitykom Doctor Web już od dłuższego czasu — pierwszy raz ten trojan pojawił się ponad rok temu. Od tej pory to malware wciąż stanowi wielkie zagrożenie dla użytkowników systemu Android, głównie dlatego, że bywa wbudowane bezpośrednio w firmware urządzenia mobilnego. W rezultacie usunięcie trojana stało się prawie niemożliwe z użyciem typowych narzędzi. Aby uwolnić się od malware, użytkownik musi uzyskać uprawnienia root’a, co może być trudne (lub nawet niebezpieczne) do zrealizowania. Inną drogą jest ponowna instalacja systemu operacyjnego, jednakże to może prowadzić do trwałej utraty wszystkich danych, które nie zostały zachowane w kopiach zapasowych.

W połowie września analitycy bezpieczeństwa Doctor Web byli świadkami nowej infekcji wywołanej przez Android.Backdoor.114.origin. Właściciele Oysters T104 HVi 3G stali się ofiarami złośliwej aktywności tego backdoora — na ich urządzeniach malware ukrywało się w preinstalowanej aplikacji GoogleQuickSearchBox.apk. Mimo że producent został powiadomiony o problemie, do dziś oficjalna, dostępna do pobrania, wersja firmware nie przeszła żadnych zmian i wciąż zawiera w sobie backdoora.

Android.Backdoor.114.origin pozyskuje i wysyła na serwer kontrolno-zarządzający informacje o zainfekowanym urządzeniu. W zależności od modyfikacji potrafi wysyłać cyberprzestępcom następujące dane:

  • Unikalny identyfikator zainfekowanego urządzenia
  • Adres MAC karty Bluetooth
  • Rodzaj zainfekowanego urządzenia (smartfon lub tablet)
  • Parametry z pliku konfiguracyjnego
  • Adres MAC
  • IMSI
  • Wersję złośliwej aplikacji
  • Wersję systemu operacyjnego
  • Wersję API urządzenia
  • Rodzaj połączenia sieciowego
  • Nazwę pakietu aplikacji
  • ID kraju
  • Rozdzielczość ekranu
  • Nazwę producenta urządzenia
  • Nazwę modelu
  • Ilość zajętego miejsca na karcie SD
  • Ilość wolnego miejsca na karcie SD
  • Ilość zajętego miejsca w pamięci wewnętrznej
  • Ilość wolnego miejsca w pamięci wewnętrznej
  • Listę aplikacji zainstalowanych w folderze systemowym
  • Listę aplikacji zainstalowanych przez użytkownika

Jednak głównym celem Android.Backdoor.114.origin jest skryte ładowanie, instalowanie i usuwanie aplikacji po otrzymaniu komendy z serwera kontrolno-zarządzającego. Co więcej, trojan potrafi aktywować wyłączoną opcję instalowania aplikacji z niepewnych źródeł. W ten sposób, nawet gdy użytkownik stosuje się do zalecanych reguł bezpieczeństwa, backdoor potrafi zmodyfikować ustawienia w celu instalacji różnych programów reklamowych, oraz niechcianych i niebezpiecznych aplikacji.

Analitycy bezpieczeństwa Doctor Web zalecają użytkownikom systemu Android przeprowadzanie okresowego skanowania antywirusowego swoich urządzeń pod kątem znanych złośliwych programów. Jeśli trojan lub inny złośliwy program zostanie wykryty w firmware, zaleca się skontaktowanie z producentem urządzenia w celu uzyskania poprawionego obrazu systemu operacyjnego, ponieważ w większości przypadków, usunięcie takiego malware z użyciem wbudowanych narzędzi (włączając oprogramowanie antywirusowe) jest niemożliwe.

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments