Kaspersky Lab: szkodliwe programy II kw. 2013

Przeczytaj także: Kaspersky Lab: szkodliwe programy III kw. 2012

Cyberprzestępcy wykryli również błąd w systemie Android dotyczący parsowania pliku AndroidManifest.xml, który jest obecny w każdej aplikacji dla Androida i służy do opisywania struktury aplikacji, określania jej parametrów uruchamiania itd. Twórcy tego szkodliwego oprogramowania zmodyfikowali plik AndroidManifest.xml w taki sposób, że nie jest zgodny ze standardem określonym przez Google’a, ale z powodu luki w zabezpieczeniach, jest błędnie parsowany na smartfonie. Znacznie komplikuje to dynamiczną analizę trojana.

Twórcy programu Backdoor.AndroidOS.Obad.a wykorzystali jeszcze inny nieznany wcześniej błąd w systemie Android OS, dzięki któremu szkodliwy program może uzyskać rozszerzone przywileje administratora urządzenia bez pojawienia się na liście aplikacji posiadających takie przywileje. W ten sposób szkodliwe oprogramowanie nie może zostać usunięte z urządzenia mobilnego.

Szkodnik ten wykorzystuje łącznie trzy nieznane jak dotąd luki. Nigdy wcześniej nie spotkaliśmy się z czymś podobnym w mobilnym szkodliwym oprogramowaniu.

Rozszerzone przywileje administratora urządzenia mogą być wykorzystywane przez trojana, aby zablokować na krótko ekran urządzenia (nie dłużej niż 10 sekund). Następuje to zwykle po podłączeniu do darmowej sieci Wi-Fi lub aktywowaniu Bluetootha, który może być wykorzystywany przez szkodliwe oprogramowanie do wysyłania swoich kopii i i innych szkodliwych aplikacji na inne znajdujące się w pobliżu urządzenia. Możliwe, że Backdoor.AndroidOS.Obad.a próbuje w ten sposób uniemożliwić użytkownikowi zauważenie szkodliwej aktywności.

W celu wysłania informacji o zainfekowanym urządzeniu oraz wykonanej „pracy” Backdoor.AndroidOS.Obad.a wykorzystuje aktywne w danym czasie połączenia internetowe. Jeżeli nie jest dostępne żadne połączenie, trojan szuka pobliskich sieci Wi-Fi, które nie wymagają uwierzytelnienia i łączy się z jedną ze znalezionych sieci.

Po pierwszym uruchomieniu szkodliwa aplikacja zbiera następujące dane: adres MAC urządzenia z technologią Bluetooth, nazwę operatora, numer telefonu oraz IMEI, saldo na koncie, czas lokalny oraz informacje o tym, czy uzyskano przywileje administratora urządzenia lub superużytkownika (root). Wszystkie powyższe informacje są wysyłane do serwera kontroli. Szkodliwe oprogramowanie dostarcza również do serwera kontroli aktualne tabele z numerami premium i prefiksami do wysyłania wiadomości SMS, listę zadań oraz listę serwerów kontroli (C&C). Podczas pierwszej sesji komunikacyjnej do serwera kontroli wysyłana jest pusta tabela oraz lista serwerów C&C; podczas sesji trojan może uzyskać uaktualnioną tabelę numerów premium oraz nową listę adresów C&C.

Cyberprzestępcy mogą kontrolować trojana przy użyciu wiadomości tekstowych: trojan może otrzymywać z serwera ciągi kluczy określające pewne akcje (key_con, key_url, key_die); następnie przeszukuje przychodzące wiadomości tekstowe w celu znalezienia tych ciągów kluczy. Wszystkie wiadomości przychodzące są sprawdzane pod kątem obecności każdego z takich ciągów kluczy. W przypadku znalezienia klucza, wykonywane jest odpowiednie działanie: key_con – natychmiast połącz się z serwerem; key_die – usuń zadania z bazy danych; key_url – przełącz się na inny serwer kontroli (tekst powinien zawierać nowy adres serwera C&C). Pozwala to cyberprzestępcom stworzyć nowy serwer kontroli i wysłać jego adres za pośrednictwem wiadomości SMS zawierającej klucz key_url, w efekcie czego wszystkie zainfekowane urządzenia przełączą się na nowy serwer.

Trojan otrzymuje polecenia z centrum kontroli i wpisuje je do bazy danych. Każdy znajdujący się w niej wpis zawiera numer polecenia, określony przez serwer czas wykonania oraz jego parametry. Poniżej znajduje się lista akcji, które mogą być wykonywane przez trojana po otrzymaniu poleceń:

• Wyślij wiadomość tekstową. Parametry obejmują liczbę celów oraz tekst, który zostanie wysłany. Odpowiedzi są usuwane;
• Ping;
• Uzyskaj saldo poprzez USSD;
• Działaj jak serwer proxy;
• Połącz się z wyznaczonym adresem;
• Pobierz i zainstaluj plik z serwera;
• Wyślij do serwera listę aplikacji zainstalowanych na urządzeniu;
• Wyślij informacje o aplikacji określone przez serwer kontroli;
• Wyślij do serwera kontakty użytkownika;
• Zdalna powłoka. Wykonaj polecenia określone przez cyberprzestępcę z konsoli.
• Wyślij plik do wszystkich wykrytych urządzeń z Bluetoothem.

FakeDefender: oprogramowanie ransomware dla Androida

W czerwcu krążyły pogłoski o tym, że pojawiło się oprogramowanie ransomware dla urządzeń mobilnych, lub dokładniej, krzyżówka między fałszywym oprogramowaniem antywirusowym a oprogramowaniem ransomware. Powiązana aplikacja nosi nazwę „Free Calls Update”. Po zainstalowaniu i uruchomieniu aplikacja ta próbuje uzyskać prawa administratora urządzenia, aby zmienić na nim ustawienia i włączyć/wyłączyć sieć Wi-Fi oraz internet 3G. Plik instalacyjny zostanie usunięty po instalacji w celu utrudnienia działania rzeczywistego oprogramowania antywirusowego, jeżeli zostało zainstalowane w systemie. Sama aplikacja stanowi fałszywe oprogramowanie antywirusowe, które udaje skanowanie w celu wykrycia szkodliwego oprogramowania i informuje o nieistniejącym w rzeczywistości zagrożeniu, skłaniając ofiarę do zakupu licencji w celu uzyskania pełnej wersji – sztuczka dobrze znana na komputerach PC.

Podczas surfowania aplikacja wyświetla okienko wyskakujące i straszy użytkownika, że szkodliwe oprogramowanie próbuje ukraść z jego telefonu treści pornograficzne; komunikat ten jest uporczywy i blokuje całe urządzenie. Jeżeli zostały przyznane prawa administratora urządzenia, każda próba usunięcia aplikacji lub uruchomienia innych aplikacji jest blokowana przez FakeDefendera.