Złośliwe aplikacje na Androida atakują Windows

Przeczytaj także: Mniej złośliwych aplikacji na Androida

Z końcem stycznia specjaliści ds. bezpieczeństwa IT natrafili na pierwsze wersje Ssucl.A w sieci. Spośród wszystkich dostępnych miejsc, malware został odnaleziony w oficjalnym sklepie z aplikacjami dla Androida Google Play, a także wielu innych sklepach oferujących programy na urządzenia mobilne.

Właściciele urządzeń ze starszymi wersjami Androida często mają problemy z niewystarczającą ilością pamięci. Dlatego wielu użytkowników poszukuje oprogramowania, które pomaga optymalizować system. Autorzy złośliwego oprogramowania postanowili to wykorzystać i ukryli malware w aplikacjach oferujących takie funkcje. Takim sposobem Ssucl.A został pobrany około tysiąca razy z Google Play. W sklepach z oprogramowaniem na Androida złośliwe oprogramowanie ukrywało się w aplikacji „SuperClean”, darmowym narzędziu do czyszczenia pamięci.

Malware zawierający szereg zadziwiających funkcji

Eksperci G Data SecurityLabs przeanalizowali kilka próbek złośliwego kodu. Analiza próbki pokazała, że atakujący mogą wykonywać szereg działań na zainfekowanym urządzeniu:

• Wykonywać połączenia oraz przesyłać wiadomości tekstowe na dowolne numery
• Przeglądać pliki, kontakty, SMS, informacje na temat sprzętu i przesyłać je na wcześniej zdefiniowany serwer
• Atakujący mogą zdalnie sterować urządzeniem
• Włączyć lub wyłączyć połączenia sieciowe
• Włączyć lub wyłączyć przekierowanie połączeń
• Przesyłać pliki oraz dane bezpośrednio na urządzenie
• Wyświetlać fałszywe okno logowania do Dropbox oraz do konta Google
• Lokalizować urządzenie mobilne tym samym samego użytkownika
• Przeprowadzić atak na komputery z systemem Windows

Zagrożenia dla urządzeń mobilnych: wykorzystanie kodów USSD

Możliwość wykonywania połączeń na dowolne numery niesie ze sobą większe ryzyko niż może się to wydawać na pierwszy rzut oka. Telefon może zostać wykorzystany do wykonywania połączeń z kodami sterującymi i zarządzającymi wieloma funkcjami np. pocztą głosową. Niektóre typy urządzeń pozwalają atakującym na restart urządzenia, przywrócenie ustawień fabrycznych lub trwałe uszkodzenie karty SIM.

Jak androidowy malware infekuje komputery PC?

Wirus na wyraźną komendę atakującego może pobierać pliki na zainfekowane urządzenie mobilne. Analizowany złośliwy kod pobrał 3 pliki:

• autorun.inf, folder.ico and svchosts.exe. Plik .ico to ikona wyświetlana użytkownikowi w eksploratorze Windows jako „napęd” który jest dostarczany. Plik autorun.inf zawiera informacje na temat działań, które mają zostać wykonane automatycznie (w tym wypadku instalacja złośliwego oprogramowania na PC) jak tylko nośnik danych (w tym wypadku zainfekowane urządzenie mobilne) zostanie podłączone do komputera PC z systemem Windows.
• Jeżeli urządzenie jest podłączone poprzez kabel USB, a funkcja Autorun jest włączona, sprzęt automatycznie podłączy się do PC jako zewnętrzny dysk. Wtedy funkcja autostartu Windows automatycznie pobierze zainfekowany plik svchosts.exe i tak nasz sprzęt z Androidem infekuje nasz komputer.

Nie wszystkie urządzenia mobilne umożliwiają zainfekowanie PC

Na szczęście metoda opisana powyżej nie działa na wszystkich urządzeniach, przykładowo napastnicy nie mogą zaatakować komputerów poprzez urządzenia wykorzystujące MTP (Media Transfer Protocol). Jednak istnieje ryzyko, że użytkownik sam przez przypadek dostarczy złośliwy plik.

Z instrukcji lub strony producenta możesz dowiedzieć się czy Twoje urządzenie mobilne wykorzystuje MTP.