Trojan Backdoor.AndroidOS.Obad.a wysyła SMS-y Premium
2013-06-11 11:06
Przeczytaj także: Trojan Obad rozprzestrzenia się przy użyciu botnetów
Niektóre ciągi są dodatkowo zaszyfrowane. Lokalny dekryptor otrzymuje zakodowany ciąg w Base64 i odkodowuje go. Odkodowany ciąg jest najpierw odszyfrowywany przy użyciu operacji XOR z użyciem klucza MD5, a następnie dodatkowo deszyfrowany przy użyciu ciągu MD5 "UnsupportedEncodingException". W celu uzyskania klucza MD5 ten sam lokalny dekryptor deszyfruje kolejny ciąg, który jest następnie wykorzystywany jako argument dla MD5. W ten sposób zabezpieczone są kluczowe ciągi, takie jak nazwa funkcji SendTextMessage.
fot. mat. prasowe
Backdoor.AndroidOS.Obad.a (4)
Rozpoczęliśmy naszą analizę i zdołaliśmy rozszyfrować wszystkie ciągi:
fot. mat. prasowe
Backdoor.AndroidOS.Obad.a (5)
Mając w ręku wyniki procesu odszyfrowywania szkodnika, udało nam się odtworzyć algorytm roboczy aplikacji.
Zdobywanie przywilejów
Natychmiast po uruchomieniu aplikacja próbuje uzyskać prawa administratora urządzenia.
fot. mat. prasowe
Backdoor.AndroidOS.Obad.a (6)
Jak już pisaliśmy wcześniej, jedną z cech tego trojana jest to, że szkodliwa aplikacja nie może zostać usunięta po tym, jak uzyska prawa administratora: wykorzystując nieznaną wcześniej lukę w Androidzie, szkodliwa aplikacja może korzystać z rozszerzonych praw, ale nie jest wymieniona jako aplikacja z prawami administratora urządzenia.
fot. mat. prasowe
Backdoor.AndroidOS.Obad.a (7)
Poinformowaliśmy już Google o luce w zabezpieczeniach Androida pozwalającej na uzyskanie praw administratora urządzenia.
Dzięki rozszerzonym prawom administratora urządzenia trojan może zablokować monitor urządzenia na czas do 10 sekund. Zwykle ma to miejsce po podłączeniu urządzenia do darmowej sieci Wi-Fi lub aktywowaniu Bluetootha; przy ustanowionym połączeniu trojan może skopiować siebie oraz inne szkodliwe aplikacje na inne zlokalizowane w pobliżu urządzenia. Możliwe, że w ten sposób Backdoor.AndroidOS.Obad.a próbuje uniemożliwić użytkownikowi wykrycie szkodliwej aktywności.
Ponadto, trojan próbuje uzyskać prawa administratora poprzez wykonanie polecenia “su id”.
fot. mat. prasowe
Backdoor.AndroidOS.Obad.a (8)
Komunikacja z właścicielami
Informacja o tym, czy zostały uzyskane prawa superużytkownika, jest wysyłana do serwera C&C. Uzyskanie praw administratora może postawić cyberprzestępców w korzystnej pozycji podczas zdalnego wykonywania poleceń na konsoli.
Po pierwszym uruchomieniu szkodliwa aplikacja zbiera następujące informacje i wysyła je do serwera C&C pod adresem androfox.com:
- Adres MAC urządzenia z Bluetoothem
- Nazwa operatora
- Numer telefonu
- IMEI
- Saldo na koncie użytkownika telefonu
- Czy uzyskano prawa administratora urządzenia
- Czas lokalny
Zebrane informacje są wysyłane do serwera w postaci zaszyfrowanego obiektu JSON.
fot. mat. prasowe
Backdoor.AndroidOS.Obad.a (9)
oprac. : eGospodarka.pl
Przeczytaj także
-
System Android: kolejne szkodliwe aplikacje
-
Kolejne trojany atakują Android
-
Google Play: aplikacje erotyczne z wirusami
-
Google Bouncer a szkodliwe programy z Android Market
-
TOP 10 zagrożeń na Androida
-
Trojan bankowy podszywa się pod legalną aplikację na Androida
-
Trojan.Rbrute atakuje routery WiFi
-
10 lat złośliwego oprogramowania na urządzenia mobilne
-
Eskalacja zagrożeń na urządzenia mobilne
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)