Szkodliwe programy mobilne 2012

Przeczytaj także: Nowy trojan Vidro na urządzenia mobilne z Androidem

Moduł dla Nokii posiada podobną funkcję i również przechwytuje dane dotyczące samego urządzenia, wiadomości tekstowe i multimedialne, kalendarz, kontakty oraz zainstalowane aplikacje. Ponadto próbuje zlokalizować i przechwycić pliki o następujących rozszerzeniach: .txt, .cdb, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .jpg, .waw, .mp4, .m4a, .amr, .exe, .log, .cer, .eml, .msg, .arc, .key, .pgp, .gpg. Wykorzystuje ConnAPI.dll z PC Connectivity Solution w celu interakcji z mobilnymi urządzeniami .

Warto wspomnieć również o komponentach Czerwonego Października, które działają w systemie Windows Mobile. Moduły te można podzielić na dwie grupy:

• moduły działające na zainfekowanych komputerach z systemem Windows (wykorzystywane do infekowania/aktualizacji urządzeń z systemem Windows Mobile podłączonych do zainfekowanego komputera);
• moduły zainstalowane na podłączonych smartfonach z systemem Windows Mobile przez komponent windowsowy.

W przypadku pierwszej grupy, celem nie jest przechwytywanie informacji z podłączonego urządzenia z systemem Windows Mobile, a instalowanie backdoora na smartfonie (lub aktualizacja już zainstalowanego). Komponent backdoora, który instaluje moduł na smartfonie w pierwszej kategorii jest określany w pewnych kręgach jako „zakładka” lub „bookmark”.

Oprócz backdoorów komponent windowsowy pobiera na urządzenia również inne pliki wykonywalne. Takie pliki .exe są wykorzystywane do zmiany konfiguracji urządzenia oraz uruchamiania, uaktualniania i usuwania backdoorów. Potrafią również kopiować specjalny plik konfiguracyjny z .ex (winupdate.cfg) z komputera na smartfon.

Plik ten był pierwotnie zaszyfrowany. Odszyfrowany plik wygląda tak:

Plik ten zawiera dane dotyczące kodów MCC/MNC (MCC = Mobile Country Code; MNC = Mobile Network Code – czyli kod państwa i kod dostawcy usług telefonii komórkowej). Doliczyliśmy się łącznie 129 różnych państw i ponad 350 dostawców usług telefonii komórkowej w tych państwach.

Komponent backdoora zakładka ustala MCC/MNC smartfona, a następnie porównuje zebrane dane z danymi z pliku winupdate.cfg i zapisuje wszystko do pliku dziennika.

W swoich operacjach z centrum kontroli (C&C) moduł zakładka próbuje wysłać żądanie POST na adresy centrum kontroli wyszczególnione w module (win-check-update.com lub, jeśli ta domena jest niedostępna, mobile-update.com):

'POST %s HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 Content-Length: %d Host: %s'

W odpowiedzi moduł ten otrzymuje plik ze zdalnego serwera, który następnie przechowuje w \Windows\%u.exe i uruchamia.

Jeżeli chodzi o domeny C&C – oprócz win-check-update.com i mobile-update.com, Kaspersky Lab wykrył następujące nazwy podejrzanych centrów kontroli:

• cydiasoft.com
• htc-mobile-update.com
• mobile-update.com
• playgoogle-market.com
• security-mobile.com
• world-mobile-congress.com

W skrócie, można wysunąć następujące wnioski:

• Po pierwsze, wiemy, że istnieje kilka modułów Czerwonego Października, których celem jest kradzież informacji z różnych rodzajów urządzeń mobilnych.
• Po drugie, istnieją niebezpośrednie wskazówki (lista kluczy rejestru, nazwy domen) istnienia innych modułów Czerwonego Października stworzonych w celu współpracy z innymi urządzeniami mobilnymi, łącznie z tymi działającymi na Androidzie i BlackBerry. Jednak w momencie publikacji tego artykułu nie wykryliśmy modułów dla tych platform.

Podsumowanie

Od czasu pojawienia się mobilnego szkodliwego oprogramowania każdego roku mają miejsce wydarzenia i incydenty, które wpływają na kolejny etap ewolucji tych zagrożeń – a rok 2012 można uznać za jeden z najbardziej znamiennych. Dlaczego?

Po pierwsze, liczba mobilnych zagrożeń gwałtownie wzrosła w 2012 roku.

Po drugie, Android stał się mobilnym celem numer jeden wśród cyberprzestępców.

Po trzecie, zagrożenia mobilne tworzone są na skalę międzynarodową. Obecnie cyberprzestępcy nie ograniczają się już do użytkowników urządzeń mobilnych w Rosji i Chinach. Poważne incydenty powodujące niemałe szkody miały miejsce w wielu krajach.

Wreszcie, mamy dowód, że urządzenia mobilne oraz przechowywane na nich dane stanowią cel nie tylko zwykłych cyberprzestępców, ale również różnych organizacji stojących za atakami takimi jak Czerwony Październik.