07.06.2013, 19:19
Kaspersky Lab poinformował na stronach swojego blogu - również Securelist.pl - że odkryto właśnie najbardziej zaawansowane, jak do tej pory, malware na Androida. Szczegóły w cytacie poniżej, więcej w macierzystym artykule (podkreślenia moje)
Źródło
Cytat: Niedawno trafiła do nas aplikacja dla Androida w celu analizy. Już na pierwszy rzut oka wiedzieliśmy, że była wyjątkowa w swoim rodzaju. Wszystkie ciągi w pliku DEX były zaszyfrowane, a kod – zaciemniony.
Plik okazał się wielofunkcyjnym trojanem, który potrafi: wysyłać SMS-y na numery premium; pobierać inne szkodliwe programy, instalować je na zainfekowanym urządzeniu i/lub wysyłać dalej za pośrednictwem Bluetootha; zdalnie wykonywać polecenia w konsoli. Obecnie, produkty firmy Kaspersky Lab wykrywają ten szkodliwy program jako Backdoor.AndroidOS.Obad.a.
(...)
Twórcy Backdoor.AndroidOS.Obad.a znaleźli błąd w popularnym oprogramowaniu DEX2JAR – program ten jest zazwyczaj wykorzystywany przez analityków w celu przekonwertowania plików APK w bardziej wygodny format Java Archive (JAR). Ta zauważona przez cyberprzestępców luka zaburza konwersję kodu bajtowego Dalvika do kodu bajtowego Javy, co ostatecznie komplikuje analizę statystyczną tego trojana.
Cyberprzestępcy znaleźli błąd w systemie operacyjnym Android, który odnosi się do przetwarzania pliku AndroidManifest.xml. Plik ten znajduje się w każdej aplikacji dla Androida i służy do opisywania struktury aplikacji, określania parametrów jej uruchomienia itd. Szkodliwe oprogramowanie modyfikuje AndroidManifest.xml w taki sposób, że nie spełnia standardów Google’a, ale nadal jest poprawnie przetwarzany na smartfonie dzięki wykorzystywaniu zidentyfikowanej luki.Wszystko to znacznie utrudniło przeprowadzenie dynamicznej analizy tego trojana.
Twórcy Backdoor.AndroidOS.Obad.a wykorzystali również inny, nieznany wcześniej błąd w systemie operacyjnym Android. Wykorzystanie tej luki pozwala szkodliwym aplikacjom uzyskać rozszerzone przywileje administratora urządzenia bez pojawiania się na liście aplikacji, które posiadają takie przywileje. W efekcie, nie jest możliwe usunięcie szkodliwego programu ze smartfonu, po tym jak uzyska on rozszerzone przywileje.
Na koniec warto dodać, że Backdoor.AndroidOS.Obad.a nie posiada interfejsu i działa w tle.
(...)
Dzięki rozszerzonym prawom administratora urządzenia trojan może zablokować monitor urządzenia na czas do 10 sekund. Zwykle ma to miejsce po podłączeniu urządzenia do darmowej sieci Wi-Fi lub aktywowaniu Bluetootha; przy ustanowionym połączeniu trojan może skopiować siebie oraz inne szkodliwe aplikacje na inne zlokalizowane w pobliżu urządzenia. Możliwe, że w ten sposób Backdoor.AndroidOS.Obad.a próbuje uniemożliwić użytkownikowi wykrycie szkodliwej aktywności.
Ponadto, trojan próbuje uzyskać prawa administratora poprzez wykonanie polecenia “su id”.
[Aby zobaczyć linki, zarejestruj się tutaj]
Informacja o tym, czy zostały uzyskane prawa superużytkownika, jest wysyłana do serwera C&C. Uzyskanie praw administratora może postawić cyberprzestępców w korzystnej pozycji podczas zdalnego wykonywania poleceń na konsoli.
Po pierwszym uruchomieniu szkodliwa aplikacja zbiera następujące informacje i wysyła je do serwera C&C pod adresem androfox.com:
Adres MAC urządzenia z Bluetoothem
Nazwa operatora
Numer telefonu
IMEI
Saldo na koncie użytkownika telefonu
Czy uzyskano prawa administratora urządzenia
Czas lokalny
Zebrane informacje są wysyłane do serwera w postaci zaszyfrowanego obiektu JSON.
(...)
Mimo tak imponujących możliwości Backdoor.AndroidOS.Obad.a nie jest bardzo rozpowszechniony. W ciągu 3-dniowego okresu obserwacyjnego na podstawie danych z Kaspersky Security Network ustalono, że próby instalacji trojana Obad.a stanowiły nie więcej niż 0,15% wszystkich prób infekowania urządzeń mobilnych różnym szkodliwym oprogramowaniem.
Na zakończenie chcielibyśmy dodać, że Backdoor.AndroidOS.Obad.a bardziej przypomina szkodliwe oprogramowanie dla systemu Windows niż inne trojany dla Androida pod względem swojej złożoności i liczby nieopublikowanych luk, jakie wykorzystuje. To oznacza, że złożoność szkodliwych programów tworzonych dla Androida wzrasta w szybkim tempie, podobnie jak ich liczba.
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
