Trojan Backdoor.AndroidOS.Obad.a wysyła SMS-y Premium

Przeczytaj także: Trojan Obad rozprzestrzenia się przy użyciu botnetów

Informacje te są wysyłane do aktualnego serwera C&C za każdym razem, gdy zostanie ustanowione połączenie. Ponadto, szkodliwy program zgłasza swój obecny status swojemu właścicielowi: wysyła aktualną tabelę numerów premium i prefiksów, na które należy wysyłać wiadomości tekstowe (parametr “aos”), listę zadań (“task”) i listę serwerów C&C. Podczas pierwszej sesji komunikacyjnej z C&C wysyła pustą tabelę oraz listę adresów C&C, które zostały odszyfrowane w opisany wyżej sposób. Podczas sesji komunikacyjnej trojan może otrzymać uaktualnioną tabelę numerów premium oraz nową listę adresów C&C.

W odpowiedzi serwer C&C wysyła kolejny obiekt JSON, który po odszyfrowaniu może wyglądać tak:

{ "nextTime":1,"conf":{ "key_con":"oKzDAglGINy","key_url":"3ylOp9UQwk",
"key_die":"ar8aW9YTX45TBeY","key_cip":"lRo6JfLq9CRNd6F7IsZTyDKKg8UGE5EICh4xjzk"}}

NextTime to kolejne połączenie z serwerem C&C, conf to ciągi konfiguracyjne.

Ciągi konfiguracyjne mogą zawierać instrukcje łączenia się z nowymi serwerami C&C, tablicami numerów z prefiksami oraz kluczami z adresami docelowymi dla wiadomości tekstowych oraz nowe zadania z parametrami. Ponadto, klucze do szyfrowania ruchu (key_cip) mogą być wysłane do conf.

Cyberprzestępcy mogą również wykorzystywać wiadomości tekstowe w celu kontrolowania trojana. Ciągi konfiguracyjne mogą również zawierać ciągi kluczy (key_con, key_url, key_die), których trojan będzie szukał w przychodzących wiadomościach tekstowych.

Każda przychodząca wiadomość tekstowa jest analizowana pod kątem obecności któregoś z tych kluczy. W przypadku znalezienia klucza wykonywane jest odpowiednie działanie:

• key_con: natychmiast ustanawia połączenie C&C;
• key_die: usuwa zadania z bazy danych;
• key_url: łączy się z nowym serwerem C&C. Po tej instrukcji musi zostać podany adres nowego serwera C&C. W ten sposób cyberprzestępcy mogą stworzyć nowy serwer C&C i wysłać jego adres do zainfekowanego urządzenia w wiadomościach tekstowych zawierających ten klucz. To spowoduje, że wszystkie zainfekowane urządzenia połączą się na nowo z nowym serwerem.

Jeżeli klucz instrukcji „send text message” zostanie znaleziony w conf, trojan wyśle wiadomość na numery dostarczone przez serwer C&C. W ten sposób zainfekowane urządzenia nie będą nawet potrzebowały połączenia internetowego, aby otrzymywać instrukcję wysyłania płatnych wiadomości tekstowych.

Instrukcje C&C

Trojan otrzymuje instrukcje z serwera C&C i zapisuje je w bazie danych. Każda instrukcja zarejestrowana w bazie danych zawiera swój numer sekwencyjny, czas, kiedy ma zostać wykonana oraz parametry.

Lista poleceń:

• Wyślij wiadomość tekstową. Parametry zawierają liczbę i tekst. Odpowiedzi są usuwane.
• PING.
• Otrzymuj saldo konta za pośrednictwem USSD.
• Działaj jako proxy (wysyłaj określone dane na określone adresy i przekazuj odpowiedź).
• Łącz się określonymi adresami (clicker).
• Pobierz plik z serwera i zainstaluj go.
• Wyślij listę aplikacji zainstalowanych w smartfonie do serwera.
• Wyślij informacje o zainstalowanej aplikacji określonej przez serwer C&C.
• Wyślij dane kontaktowe użytkownika do serwera.
• Zdalna powłoka. Wykonaj polecenia w konsoli określone przez cyberprzestępcę.
• Wyślij plik do wszystkich wykrytych urządzeń z Bluetoothem.

Ta lista poleceń dla Obad.a pozwala szkodliwemu programowi rozprzestrzeniać pliki za pośrednictwem Bluetootha. Serwer C&C wysyła trojanowi lokalny adres pliku, który należy pobrać na zainfekowane urządzenie. Na polecenie serwera C&C szkodliwy program skanuje w poszukiwaniu najbliższych urządzeń z włączonym połączeniem Bluetooth i próbuje wysłać do nich pobrane pliki.

Mimo tak imponujących możliwości Backdoor.AndroidOS.Obad.a nie jest bardzo rozpowszechniony. W ciągu 3-dniowego okresu obserwacyjnego na podstawie danych z Kaspersky Security Network ustalono, że próby instalacji trojana Obad.a stanowiły nie więcej niż 0,15% wszystkich prób infekowania urządzeń mobilnych różnym szkodliwym oprogramowaniem.

Na zakończenie chcielibyśmy dodać, że Backdoor.AndroidOS.Obad.a bardziej przypomina szkodliwe oprogramowanie dla systemu Windows niż inne trojany dla Androida pod względem swojej złożoności i liczby nieopublikowanych luk, jakie wykorzystuje. To oznacza, że złożoność szkodliwych programów tworzonych dla Androida wzrasta w szybkim tempie, podobnie jak ich liczba.

Roman Unuchek