Trojan Backdoor.AndroidOS.Obad.a wysyła SMS-y Premium

Przeczytaj także: Trojan Obad rozprzestrzenia się przy użyciu botnetów

Szczegółowy opis techniczny trojana Backdoor.AndroidOS.Obad.a

Niedawno trafiła do nas aplikacja dla Androida w celu analizy. Już na pierwszy rzut oka wiedzieliśmy, że była wyjątkowa w swoim rodzaju. Wszystkie ciągi w pliku DEX były zaszyfrowane, a kod – zaciemniony.

Plik okazał się wielofunkcyjnym trojanem, który potrafi: wysyłać SMS-y na numery premium; pobierać inne szkodliwe programy, instalować je na zainfekowanym urządzeniu i/lub wysyłać dalej za pośrednictwem Bluetootha; zdalnie wykonywać polecenia w konsoli. Obecnie, produkty firmy Kaspersky Lab wykrywają ten szkodliwy program jako Backdoor.AndroidOS.Obad.a.

Twórcy szkodliwego oprogramowania zwykle próbują maksymalnie skomplikować kod w swoich tworach, aby utrudnić życie ekspertom ds. szkodliwego oprogramowania. Rzadko jednak zdarza się, aby maskowanie w mobilnym szkodliwym oprogramowaniu było tak zaawansowane jak w przypadku szkodnika Obad.a. Co więcej, to kompletne zaciemnienie kodu nie było jedyną podejrzaną rzeczą w tym nowym trojanie.

Sztuczki trojana

Twórcy Backdoor.AndroidOS.Obad.a znaleźli błąd w popularnym oprogramowaniu DEX2JAR – program ten jest zazwyczaj wykorzystywany przez analityków w celu przekonwertowania plików APK w bardziej wygodny format Java Archive (JAR). Ta zauważona przez cyberprzestępców luka zaburza konwersję kodu bajtowego Dalvika do kodu bajtowego Javy, co ostatecznie komplikuje analizę statystyczną tego trojana.

Cyberprzestępcy znaleźli błąd w systemie operacyjnym Android, który odnosi się do przetwarzania pliku AndroidManifest.xml. Plik ten znajduje się w każdej aplikacji dla Androida i służy do opisywania struktury aplikacji, określania parametrów jej uruchomienia itd. Szkodliwe oprogramowanie modyfikuje AndroidManifest.xml w taki sposób, że nie spełnia standardów Google’a, ale nadal jest poprawnie przetwarzany na smartfonie dzięki wykorzystywaniu zidentyfikowanej luki. Wszystko to znacznie utrudniło przeprowadzenie dynamicznej analizy tego trojana.

Twórcy Backdoor.AndroidOS.Obad.a wykorzystali również inny, nieznany wcześniej błąd w systemie operacyjnym Android. Wykorzystanie tej luki pozwala szkodliwym aplikacjom uzyskać rozszerzone przywileje administratora urządzenia bez pojawiania się na liście aplikacji, które posiadają takie przywileje. W efekcie, nie jest możliwe usunięcie szkodliwego programu ze smartfonu, po tym jak uzyska on rozszerzone przywileje.

Na koniec warto dodać, że Backdoor.AndroidOS.Obad.a nie posiada interfejsu i działa w tle.

Analiza kodu

W tej szkodliwej aplikacji wszystkie zewnętrzne metody są wywoływane za pośrednictwem mechanizmu refleksji. Wszystkie ciągi są zaszyfrowane, łącznie z nazwami klas i metodami.

Każda klasa posiada lokalną metodę deskryptora, która uzyskuje niezbędny do zaszyfrowania ciąg z lokalnie aktualizowanej tablicy bajtów. Wszystkie ciągi są „ukryte” w tej tablicy.

Najważniejsze ciągi zawierające adres serwera C&C przechodzą dodatkowy etap szyfrowania. W tym celu trojan sprawdza najpierw, czy istnieje dostęp do internetu, następnie pobiera stronę facebook.com. Wydobywa określony element tej strony i wykorzystuje go jako klucz deszyfrujący. W ten sposób Backdoor.AndroidOS.Obad.a może odszyfrować adresy C&C tylko wtedy, gdy istnieje dostęp do internetu. Cecha ta jeszcze bardziej komplikuje analizę tego szkodnika.