25 sierpnia 2015, Warszawa

Ostatnio analitycy bezpieczeństwa Doctor Web wykryli i przebadali nowego trojana dla Androida nazwanego Android.Backdoor.260.origin. Ten złośliwy program jest dystrybuowany wśród chińskich użytkowników i ma na celu szpiegowanie swoich ofiar. W szczególności, trojan potrafi przechwytywać wiadomości SMS, zapisywać połączenia telefoniczne, śledzić współrzędne GPS zainfekowanego urządzenia, pobierać zrzuty ekranu, a nawet zbierać dane wprowadzane przez użytkownika.

Ostatnio analitycy bezpieczeństwa Doctor Web wykryli i przebadali nowego trojana dla Androida nazwanego Android.Backdoor.260.origin. Ten złośliwy program jest dystrybuowany wśród chińskich użytkowników i ma na celu szpiegowanie swoich ofiar. W szczególności, trojan potrafi przechwytywać wiadomości SMS, zapisywać połączenia telefoniczne, śledzić współrzędne GPS zainfekowanego urządzenia, pobierać zrzuty ekranu, a nawet zbierać dane wprowadzane przez użytkownika.

Android.Backdoor.260.origin posiada dość skomplikowaną architekturę swoich modułów — jego główne złośliwe funkcjonalności są wdrożone w specjalnych modułach wbudowanych w pakiet tworzący to malware. Uruchomiony po raz pierwszy, trojan wypakowuje następujące komponenty dodatkowe:

• super,
• detect,
• liblocSDK4b.so,
• libnativeLoad.so,
• libPowerDetect.cy.so,
• 1.dat,
• libstay2.so,
• libsleep4.so,
• substrate_signed.apk,
• cInstall.

Następnie próbuje uruchomić z użyciem uprawnień root'a plik binarny cInstall (wykrywany przez Dr.Web jako Android.BackDoor.41). Jeśli próba powiedzie się, ten złośliwy moduł umieszcza w folderach systemowych kilka wcześniej rozpakowanych plików i próbuje w ukryty sposób zainstalować narzędzie nazwane “Substrate”. Zwiększa ono funkcjonalność aplikacji i jest używane przez Android.Backdoor.260.origin do przechwytywania wprowadzanych danych. Jeśli trojan nie uzyska uprawnień root'a, to wówczas najprawdopodobniej, nie będzie w stanie zainstalować wymaganych komponentów. W rezultacie malware nie będzie w stanie w prawidłowy sposób realizować większości swoich funkcji.

Gdy wszystkie moduły zostaną zainstalowane, Android.Backdoor.260.origin usuwa swój utworzony wcześniej skrót i uruchamia swoją złośliwą usługę nazwaną PowerDetectService. Usługa ta uruchamia złośliwy moduł o nazwie libnativeLoad.so, który został dodany do bazy wirusów Dr.Web pod nazwą Android.BackDoor.42 i moduł Substrate (wykrywany przez Dr.Web jako (Tool.Substrate.1.origin ). Właściwie to narzędzie nie jest na chwilę obecną złośliwe i może być łatwo pobrane z Google Play, jednakże, cyberprzestępcy zmodyfikowali oryginalną aplikację i wbudowali jej nową wersję do Android.Backdoor.260.origin. W rezultacie to narzędzie stało się potencjalnie niebezpieczne dla użytkowników urządzeń mobilnych.

Komponent libnativeLoad.so uruchamia plik “wykrywacza” (Android.BackDoor.45), który inicjuje pracę modułu binarnego 1.dat (Android.BackDoor.44). Z kolei ten moduł aktywuje bibliotekę libsleep4.so (Android.BackDoor.46), która w sposób ciągły pobiera zrzuty ekranu i przechwytuje dane wprowadzane przez użytkownika, oraz bibliotekę libstay2.so (Android.BackDoor.43), której celem jest wykradanie danych z listy kontaktów i monitorowanie wiadomości SMS i wiadomości wymienianych poprzez aplikację QQ.

Co więcej, komponent 1.dat potrafi odbierać pewną ilość komend z serwera kontrolno-zarządzającego, spośród których można wymienić następujące:

• DOW — pobieranie pliku z serwera
• UPL — ładowanie pliku na serwer
• PLI, PDL, SDA — aktualizacja złośliwych modułów i ustawień
• DIR — uzyskanie listy plików obecnych w określonym folderze
• DTK — zapisanie zawartości określonego folderu do pliku
• OSC, STK — uruchomienie wyszukiwania określonego pliku lub folderu
• OSF — przerwanie wyszukiwania określonego pliku
• DEL — usunięcie określonego pliku
• SCP — pobranie zrzutu ekranu
• BGS — aktywowanie mikrofonu i rozpoczęcie nagrywania
• GPRS — rozpoczęcie śledzenia współrzędnych GPS

Warto zauważyć, że gdy niektóre polecenia są wykonywane przez moduł 1.dat jako swoje własne, to inne komendy są realizowane z pomocą innych złośliwych bibliotek, które blisko komunikują się ze sobą poprzez gniazda UNIX używając następujących dwubajtowych komend:

• 0x2633 — rozpoczęcie nagrywania z użyciem wbudowanego mikrofonu,
• 0x2634 — zatrzymanie nagrywania,
• 0x2635 — aktualizacja pliku konfiguracyjnego do zapisu dźwięku,
• 0x2629 — kopiowanie listy kontaktów,
• 0x2630 — kopiowanie listy kontaktów,
• 0x2631 — kopiowanie wiadomości SMS,
• 0x2632 — kopiowanie dziennika połączeń,
• 0x2628 — przekazywanie informacji o lokalizacji urządzenia na serwer,
• 0x2532 — przekazywanie informacji o nazwie procesu aktualnie używanej aplikacji,
• 0x2678 — ładowanie na serwer danych wprowadzanych przez użytkownika.

Po raz kolejny analitycy bezpieczeństwa Doctor Web ostrzegają użytkowników przed instalowaniem aplikacji pobranych z niepewnych źródeł. Co więcej, chcielibyśmy przypomnieć o konieczności ochrony urządzeń mobilnych z użyciem niezawodnego oprogramowania antywirusowego. Sygnatury Android.Backdoor.260.origin i jego komponentów zostały dodane do bazy wirusów Dr.Web, tym samym te złośliwe programy nie stanowią zagrożenia dla użytkowników Antywirusów Dr.Web dla Androida