Niedawno zidentyfikowano bardzo interesującego szkodnika dla Androida. Warto o nim wspomnieć, mimo że nadal nie wiadomo, w jaki sposób rozprzestrzenia się. Po zainstalowaniu się na urządzeniu szkodliwa aplikacja „udaje” grę pod nazwą ‘MADDEN NFL 12’.
Rozmiar pliku wynosi ponad 5 MB i w rzeczywistości jest to trojan instalujący w systemie zestaw komponentów szkodliwego oprogramowania: exploita roota, trojana SMS oraz bota IRC. Funkcjonalność droppera zawiera plik .class o nazwie "AndroidBotAcitivity". Tworzy on katalog ‘/data/data/com.android.bot/files’ i nadaje mu uprawnienia “777” (odczyt/zapis/uruchamianie dla wszystkich użytkowników). Następnie wypakowuje do tego katalogu trzy pliki - ‘header01.png’ (exploit root), ‘footer01.png’ (bot IRC), ‘border01.png’ (trojan SMS). Później nadaje uprawnienia 777 plikowi exploita roota i wykonuje go. Na koniec wyświetla na ekranie tekst ‘(0x14) Error - Not registred application’.
Jeżeli exploit zostanie pomyślnie wykonany, a urządzenie zrootowane, uruchomi bota IRC ‘footer01.png’.
Najpierw bot IRC próbuje usunąć ‘etc/sent’ przy pomocy polecenia ‘rm’:
Następnie ustanawia uprawnienia root dla użytkownika lub grupy użytkowników dotyczące pliku ‘border01.png’ przy użyciu polecenia ‘chown’ oraz nadaje uprawnienia ‘644’ dla pliku ‘border01.png’:
W dalszej kolejności bot IRC instaluje ‘border01.png’ (trojan SMS) przy użyciu ‘pm install’ i uruchamia go przy pomocy ‘am start’:
Omawiany trojan SMS jest modyfikacją trojana SMS Foncy (nie tak dawno temu pisaliśmy o tej rodzinie). Trojan ten nie został znacznie zmodyfikowany. W celu ustalenia kraju, z której pochodzi karta SIM, wykorzystuje metodę getSimCountryIso jak również wcześniejsze wersje. Poniżej lista państw z odpowiednimi numerami o podwyższonej opłacie:
- Francja (81083)
- Belgia (3075)
- Szwajcaria (543)
- Luksemburg (64747)
- Kanada (60999)
- Niemcy (63000)
- Hiszpania (35024)
- Wielka Brytania (60999)
- Maroko (2052)
- Sierra Leone (7604)
- Rumunia (1339)
- Norwegia (2227)
- Szwecja (72225)
- Stany Zjednoczone (23333)
Podobnie jak w poprzedniej wersji, Foncy próbuje blokować wszystkie wiadomości przychodzące z wymienionych wyżej numerów o podwyższonej opłacie przy użyciu metody abortBroadcast. Jednak między opisywaną a poprzednimi wersjami Foncy istnieje jedna mała różnica. Nowsza modyfikacja przesyła wszystkie wiadomości przychodzące z numeru o podwyższonej opłacie na zdalny serwer zamiast wysyłać wiadomość SMS na numer telefonu komórkowego w następującym formacie:
http://46.166.*.*/?={numer}///{treść_wiadomości}
Po uruchomieniu trojana SMS bot IRC próbuje połączyć się z serwerem IRC 199.68.*.* (w momencie prowadzenia badania serwer ten był niedostępny) na kanale ‘#andros’ z losową nazwą. W efekcie, szkodnik może otrzymywać dowolne polecenia powłoki z tego serwera i wykonać je na zainfekowanym urządzeniu.
Jak dotąd jest to pierwszy znany nam bot IRC dla Androida. Bardziej interesujące jest to, że znajduje się w zestawie z exploitem roota oraz trojanem SMS. Elementy te sprawnie współpracują ze sobą, a cyberprzestępca posiada pełny dostęp do zainfekowanego smartfonu i może zrobić wszystko, co chce.
PS Wszystkie szkodliwe pliki wykrywamy jako Trojan-Dropper.AndroidOS.Foncy.a, Exploit.Linux.Lotoor.ac, Backdoor.Linux.Foncy.a and Trojan-SMS.AndroidOS.Foncy.a.
źródło:
viruslist.pl
Bot IRC dla Androida
