eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternet › Nowy trojan na Androida atakuje firmware i popularne aplikacje

Nowy trojan na Androida atakuje firmware i popularne aplikacje

2016-03-23 13:38

Nowy trojan na Androida atakuje firmware i popularne aplikacje

Nowy trojan na Androida atakuje firmware © faithie - Fotolia.com

PRZEJDŹ DO GALERII ZDJĘĆ (2)

Trojany dla Androida są projektowane głównie w celu wyświetlania reklam i instalowania na urządzeniach mobilnych niepożądanego oprogramowania, “sponsorując” autorów złośliwych aplikacji. W marcu analitycy bezpieczeństwa Doctor Web przebadali nowego reprezentanta tego typu malware, po tym jak został zauważony w firmware około 40 popularnych, tanich smartfonów i w aplikacjach opracowanych przez powszechnie znane firmy.

Przeczytaj także: Mniej ataków hakerskich na polskie firmy. Nanocore zdetronizował Emotet

Trojan, nazwany Android.Gmobi.1, został zaprojektowany jako wyspecjalizowany pakiet programowy (platforma SDK), używany zarówno przez producentów urządzeń mobilnych jak i przez twórców oprogramowania w celu rozszerzenia funkcjonalności aplikacji dla Androida.

Moduł ten jest zdolny w szczególności do zdalnego aktualizowania systemu operacyjnego, zbierania informacji, wyświetlania powiadomień (włączając reklamy) i dokonywania płatności mobilnych. Mimo iż niektórzy mogą przypuszczać, że Android.Gmobi.1 nie stanowi żadnego zagrożenia, to w rzeczywistości realizuje on typowe funkcje programu reklamowego — tym samym wszystkie aplikacje zainfekowane przez to malware są wykrywane przez antywirusy Dr.Web dla Androida jako złośliwe. Specjaliści Doctor Web wykryli, że ten SDK pojawił się jak dotąd w prawie 40 modelach urządzeń mobilnych. Poza tym trojan ten zaatakował również aplikacje dostępne w Google Play, takie jak Trend Micro Dr.Safety, Dr.Booster i Asus WebStorage. Wszystkie zaatakowane firmy zostały już powiadomione o tym incydencie i aktualnie rozważają możliwe sposoby rozwiązania problemu. W międzyczasie TrendMicro Dr.Safety i TrendMicro Dr.Booster zostały zaktualizowane i nie są już niebezpieczne dla użytkowników Androida.

Głównym celem Android.Gmobi.1 i jego kilku modyfikacji jest zbieranie poufnych informacji i wysyłanie ich na zdalny serwer. Na przykład, wersje trojana wbudowane w TrendMicro Dr.Safety i TrendMicro Dr.Booster wykonywały tylko wymienione powyżej funkcje, jednak w tym artykule opiszemy modyfikacje wirusa, które zostały zaprojektowane do atakowania firmware urządzeń mobilnych.

Za każdym razem gdy urządzenie zostanie podłączone do Internetu lub gdy zostanie uaktywniony jego ekran domowy (jeśli przedtem ekran był wygaszony dłużej niż jedną minutę), Android.Gmobi.1 zbiera następujące informacje w celu wysłania ich na serwer:
  • Wiadomości e-mail użytkownika
  • Dostępność roamingu
  • Współrzędne GPS lub sieci mobilnej
  • Informacje o urządzeniu
  • Położenie geograficzne urządzenia (użytkownika)
  • Obecność w urządzeniu aplikacji Google Play

Serwer odpowiada zaszyfrowanym obiektem JSON (Java Script Object Notification), który może zawierać następujące komendy:
  • Aktualizacji bazy danych informacją o reklamie do wyświetlenia.
  • Stworzenia skrótu do reklamy na ekranie domowym.
  • Wyświetlenia powiadomienia o treści reklamowej.
  • Wyświetlenia powiadomienia, po wybraniu którego nastąpi uruchomienie zainstalowanej aplikacji.
  • Automatycznego pobrania i zainstalowania plików APK używających standardowych, systemowych okienek dialogowych. Skryta instalacja tych plików jest wykonywana tylko wtedy, gdy trojan uzyska wymagane uprawnienia.

W zależności od otrzymanego polecenia, trojan rozpoczyna wyświetlanie reklam i wykonywanie innych działań, przynoszących dochód przestępcom. W szczególności trojan jest zdolny do:
  • Wyświetlania reklam na pasku statusowym.
  • Wyświetlania reklam w okienkach dialogowych.
  • Wyświetlania reklam w interaktywnych okienkach dialogowych — kliknięcie “Ok” prowadzi do wysłania wiadomości tekstowej (tylko jeśli aplikacja, w którą wbudowano przedmiotowe SDK, posiada wymagane uprawnienia).
  • Wyświetlanie reklam na wierzchu uruchomionych aplikacji i GUI systemu operacyjnego.
  • Otwieranie stron www z reklamami w przeglądarce lub w aplikacji Google Play.
Android.Gmobi.1
Kliknij, aby powiekszyć

fot. mat. prasowe

Android.Gmobi.1

Zagrożenie pojawiło się w prawie 40 modelach urządzeń mobilnych.

Kliknij, aby przejść do galerii (2)


Oprócz tego Android.Gmobi.1 potrafi automatycznie uruchamiać programy zainstalowane na urządzeniu przez użytkownika i pobierać aplikacje z określonych linków, podnosząc wskaźniki popularności tego oprogramowania.

Dr.Web dla Androida z powodzeniem wykrywa wszystkie znane modyfikacje Android.Gmobi.1, tylko gdy nie są one zlokalizowane w katalogach systemowych. Jeśli firmware Twojego urządzenia jest zainfekowane tym trojanem, to nie zostanie on usunięty przez antywirusa bez uprawnień root’a. Jednak nawet gdy uprawnienia root’a zostaną nadane, to istnieje wysokie ryzyko doprowadzenia urządzenia do stanu niefunkcjonowania, ponieważ trojan może być wbudowany w niektóre krytyczne aplikacje systemowe. Tym samym najbezpieczniejszym rozwiązaniem dla ofiar Android.Gmobi.1 jest skontaktowanie się z producentem urządzenia i zgłoszenie prośby o wydanie aktualizacji firmware nie zawierającej trojana.

Przeczytaj także: Emotet największym cyberzagrożeniem w Polsce, a Formbook na świecie Emotet największym cyberzagrożeniem w Polsce, a Formbook na świecie

oprac. : eGospodarka.pl eGospodarka.pl

Więcej na ten temat: trojany, malware, złośliwe oprogramowanie, Android, firmware

Następny artykuł

Matka Polka Instagramowa

Matka Polka Instagramowa

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Najnowsze w dziale Wiadomości

Polecamy

Artykuły promowane

newsletter rss

Eksperci egospodarka.pl

1 1 1

Najnowsze w serwisie

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: