Trojan Backdoor.AndroidOS.Obad.a wysyła SMS-y Premium
2013-06-11 11:06
Przeczytaj także: Trojan Obad rozprzestrzenia się przy użyciu botnetów
Niektóre ciągi są dodatkowo zaszyfrowane. Lokalny dekryptor otrzymuje zakodowany ciąg w Base64 i odkodowuje go. Odkodowany ciąg jest najpierw odszyfrowywany przy użyciu operacji XOR z użyciem klucza MD5, a następnie dodatkowo deszyfrowany przy użyciu ciągu MD5 "UnsupportedEncodingException". W celu uzyskania klucza MD5 ten sam lokalny dekryptor deszyfruje kolejny ciąg, który jest następnie wykorzystywany jako argument dla MD5. W ten sposób zabezpieczone są kluczowe ciągi, takie jak nazwa funkcji SendTextMessage.
fot. mat. prasowe
Backdoor.AndroidOS.Obad.a (4)
W celu uzyskania klucza MD5 ten sam lokalny dekryptor deszyfruje kolejny ciąg, który jest następnie wykorzystywany jako argument dla MD5
Rozpoczęliśmy naszą analizę i zdołaliśmy rozszyfrować wszystkie ciągi:
fot. mat. prasowe
Mając w ręku wyniki procesu odszyfrowywania szkodnika, udało nam się odtworzyć algorytm roboczy aplikacji.
Zdobywanie przywilejów
Natychmiast po uruchomieniu aplikacja próbuje uzyskać prawa administratora urządzenia.
fot. mat. prasowe
Backdoor.AndroidOS.Obad.a (6)
Natychmiast po uruchomieniu aplikacja próbuje uzyskać prawa administratora urządzenia
Jak już pisaliśmy wcześniej, jedną z cech tego trojana jest to, że szkodliwa aplikacja nie może zostać usunięta po tym, jak uzyska prawa administratora: wykorzystując nieznaną wcześniej lukę w Androidzie, szkodliwa aplikacja może korzystać z rozszerzonych praw, ale nie jest wymieniona jako aplikacja z prawami administratora urządzenia.
fot. mat. prasowe
Backdoor.AndroidOS.Obad.a (7)
Aplikacja nie może zostać usunięta po tym, jak uzyska prawa administratora: wykorzystując nieznaną wcześniej lukę w Androidzie, szkodliwa aplikacja może korzystać z rozszerzonych praw
Poinformowaliśmy już Google o luce w zabezpieczeniach Androida pozwalającej na uzyskanie praw administratora urządzenia.
Dzięki rozszerzonym prawom administratora urządzenia trojan może zablokować monitor urządzenia na czas do 10 sekund. Zwykle ma to miejsce po podłączeniu urządzenia do darmowej sieci Wi-Fi lub aktywowaniu Bluetootha; przy ustanowionym połączeniu trojan może skopiować siebie oraz inne szkodliwe aplikacje na inne zlokalizowane w pobliżu urządzenia. Możliwe, że w ten sposób Backdoor.AndroidOS.Obad.a próbuje uniemożliwić użytkownikowi wykrycie szkodliwej aktywności.
Ponadto, trojan próbuje uzyskać prawa administratora poprzez wykonanie polecenia “su id”.
fot. mat. prasowe
Backdoor.AndroidOS.Obad.a (8)
Trojan próbuje uzyskać prawa administratora poprzez wykonanie polecenia “su id”
Komunikacja z właścicielami
Informacja o tym, czy zostały uzyskane prawa superużytkownika, jest wysyłana do serwera C&C. Uzyskanie praw administratora może postawić cyberprzestępców w korzystnej pozycji podczas zdalnego wykonywania poleceń na konsoli.
Po pierwszym uruchomieniu szkodliwa aplikacja zbiera następujące informacje i wysyła je do serwera C&C pod adresem androfox.com:
- Adres MAC urządzenia z Bluetoothem
- Nazwa operatora
- Numer telefonu
- IMEI
- Saldo na koncie użytkownika telefonu
- Czy uzyskano prawa administratora urządzenia
- Czas lokalny
Zebrane informacje są wysyłane do serwera w postaci zaszyfrowanego obiektu JSON.
fot. mat. prasowe
Backdoor.AndroidOS.Obad.a (9)
Zebrane informacje są wysyłane do serwera w postaci zaszyfrowanego obiektu JSON
Trojan Android.Pincer.2.origin wykrada SMS-y
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
Jak poznać wysokość przyszłej emerytury?
