14.01.2012, 12:08
Eksperci z Kaspersky Lab odkryli nową złośliwą aplikację atakującą użytkowników Androida.
Nie jest jeszcze do końca jasne w jaki sposób szkodnik się rozprzestrzenia ale pewnym jest, że po infekcji widoczna jest na liście aplikacji gra MADDEN NFL 12 :
Plik waży powyżej 5MB i jest to trojan wrzucający do systemu bota IRC, SMS Trojan oraz root exploit.
Tworzy on również katalog '' /data/data/com.android.bot/files '' z prawami dostępu ustawionymi na ''777'' (odczyt/zapis/wykonanie dla wszystkich użytkowników) a następnie w utworzonym katalogu umieszcza 3 pliki:
- header01.png (root exploit)
- footer01.png (bot IRC)
- border01.png (trojan SMS)
Następnie nadawane są prawa ''777'' dla pliku header01.png(root exploit) i wywoływane jest wykonanie pliku, po którym pojawia się komunikat: " (0x14) Error - Not registred application "
Jeżeli operacja wywołania exploita powiodła się i urządzenia zostało zrootowane, wówczas szkodanik wykonuje plik footer01.png(bot IRC), który w pierwszej kolejności będzie próbował usunąć katalog '' etc/sent ''.
Kolejnym krokiem jest ustanowienie właściciela root dla pliku border01.png(trojan SMS) za pomocą komendy ''chown'', nadanie praw ''644'' dla tego pliku oraz jego instalacja i uruchomienie.
Instalowany w ten sposób trojan jest niewielką modyfikacją znanego już wcześniej szkodnika: '' Foncy SMS Trojan ''. Podobnie jak poprzednia wersja, tak również i ta używa metody '' getSimCountryIso '' w celu zidentyfikowania kraju pochodzenia karty SIM i umożliwienia w ten sposób wysyłania SMS Premium.
Trojan ma również możliwość blokowania wiadomości przychodzących z usług Premium, dzięki czemu ofiara nie jest w stanie rozpoznać aktywności malware w systemie (do czasu otrzymania rachunku).
Największą ciekawostką jest jednak bot IRC - pierwszy jak do tej pory tego typu szkodnik atakujący system Android.
Po instalacji trojana, bot łączy się z serwerem IRC 199.68.*.* (był on niedostępny w trakcie analizy malware) na kanale '' #andros '' z losowo wygenerowaną nazwą użytkownika. Po połączeniu z serwerem bot jest w stanie odbierać komendy i wykonywać je na zainfekowanym urządzeniu.
Dzięki kilku modułom wchodzącym a skład tego malware, przestępcy mogą uzyskać niemal nieograniczoną kontrolę nad zainfekowanym systemem.
Złośliwa aplikacja została sklasyfikowana i jest rozpoznawana przez produkty Kaspersky Lab jako:
- Trojan-Dropper.AndroidOS.Foncy.a
- Exploit.Linux.Lotoor.ac
- Backdoor.Linux.Foncy.a
- Trojan-SMS.AndroidOS.Foncy.a
Źródło: Kaspersky Lab
Nie jest jeszcze do końca jasne w jaki sposób szkodnik się rozprzestrzenia ale pewnym jest, że po infekcji widoczna jest na liście aplikacji gra MADDEN NFL 12 :
[Aby zobaczyć linki, zarejestruj się tutaj]
Plik waży powyżej 5MB i jest to trojan wrzucający do systemu bota IRC, SMS Trojan oraz root exploit.
Tworzy on również katalog '' /data/data/com.android.bot/files '' z prawami dostępu ustawionymi na ''777'' (odczyt/zapis/wykonanie dla wszystkich użytkowników) a następnie w utworzonym katalogu umieszcza 3 pliki:
- header01.png (root exploit)
- footer01.png (bot IRC)
- border01.png (trojan SMS)
Następnie nadawane są prawa ''777'' dla pliku header01.png(root exploit) i wywoływane jest wykonanie pliku, po którym pojawia się komunikat: " (0x14) Error - Not registred application "
Jeżeli operacja wywołania exploita powiodła się i urządzenia zostało zrootowane, wówczas szkodanik wykonuje plik footer01.png(bot IRC), który w pierwszej kolejności będzie próbował usunąć katalog '' etc/sent ''.
Kolejnym krokiem jest ustanowienie właściciela root dla pliku border01.png(trojan SMS) za pomocą komendy ''chown'', nadanie praw ''644'' dla tego pliku oraz jego instalacja i uruchomienie.
Instalowany w ten sposób trojan jest niewielką modyfikacją znanego już wcześniej szkodnika: '' Foncy SMS Trojan ''. Podobnie jak poprzednia wersja, tak również i ta używa metody '' getSimCountryIso '' w celu zidentyfikowania kraju pochodzenia karty SIM i umożliwienia w ten sposób wysyłania SMS Premium.
Trojan ma również możliwość blokowania wiadomości przychodzących z usług Premium, dzięki czemu ofiara nie jest w stanie rozpoznać aktywności malware w systemie (do czasu otrzymania rachunku).
Największą ciekawostką jest jednak bot IRC - pierwszy jak do tej pory tego typu szkodnik atakujący system Android.
Po instalacji trojana, bot łączy się z serwerem IRC 199.68.*.* (był on niedostępny w trakcie analizy malware) na kanale '' #andros '' z losowo wygenerowaną nazwą użytkownika. Po połączeniu z serwerem bot jest w stanie odbierać komendy i wykonywać je na zainfekowanym urządzeniu.
Dzięki kilku modułom wchodzącym a skład tego malware, przestępcy mogą uzyskać niemal nieograniczoną kontrolę nad zainfekowanym systemem.
Złośliwa aplikacja została sklasyfikowana i jest rozpoznawana przez produkty Kaspersky Lab jako:
- Trojan-Dropper.AndroidOS.Foncy.a
- Exploit.Linux.Lotoor.ac
- Backdoor.Linux.Foncy.a
- Trojan-SMS.AndroidOS.Foncy.a
Źródło: Kaspersky Lab
