Mobilní bezpečnostní výzkumníci oznámili vznik jako malware s názvem Android Tigerbot . Řekl, malware je vlastně aplikace tzv. Spyera, které jsme zjistit, jak ANDROIDOS_TIGERBOT.EVL . Řekl App nachází v třetí strany čínských obchodech app .
Snažili jsme se analyzovat tuto aplikaci zkontrolovat, zda je skutečně nebezpečný. Níže jsou naše výsledky:
Instalace
Po instalaci ANDROIDOS_TIGERBOT.EVL ukazuje jinou ikonu, obvykle to legitimní aplikace. Některé škodlivé programy používají stejnou rutinu přimět uživatele, aby si mysleli, že je neškodný soubor. Skutečnost, že Tigerbot používá stejnou instalační rutinu vyvolává otázky, týkající se záměru této aplikace.
Možnosti
Tigerbot se ovládá buď SMS nebo telefonní hovory. Je schopen zaznamenávat telefonní hovory, sledování přes GPS zařízení, nebo restartovat zařízení. Kopání hlouběji do své rutiny, jsme zjistili několik příkazů, které jsou pochybné povahy:
- DEBUG - nejprve kontroluje spuštěné procesy a konfiguraci Spyera aplikace, a připojí k URL poslat kontrolu stavu sítě
- CHANGE_IAP - změní telefonu APN (Access Point Name)
- PROCESS_LIST_ADD - přidává telefonu název procesu do seznamu (seznam se používá k ukončení procesů)
- PROCESS_LIST_DELETE - odstraní telefonu název procesu, který je v seznamu
- ACTIVE - aktivuje kopii Tigerbot
- DEACTIVE - deaktivuje kopie Tigerbot
Výše uvedených schopnosti mohou být použity k nebezpečným poslat přes soukromé informace k útočníkovi. To jsou dva důvody, proč jsme se pro detekci aplikaci jako malware.
Následující údaje 4 různé sady příkazů používaných Tigerbot slovy:
Příkaz Nastavit A
tyto příkazy mohou být použity útočník, shromažďovat informace od zařízení:
tyto příkazy mohou být použity útočník, shromažďovat informace od zařízení:
| SMS příkazy | Jméno | Popis |
|---|---|---|
| ** | DEBUG | Vrátí právě běží názvy procesů, aktuální konfigurace, a snaží se ověřit připojení k Internetu. |
DEBUG
Po obdržení příkazu DEBUG bude Tigerbot:
- Okamžitě vrátí právě běžící proces jména. To nám dává způsob, jak identifikovat oběť
- Po 12 sekundách se vrací na Tigerbot konfiguraci, pokud kopie není aktivován
- Po 20 sekundách, podívejte se na stav sítě po připojení k URL a vrátit stav sítě na SMS odesílatele
Příkaz set B
Následující příkazy mohou ještě vykonat, i když je přístroj ještě není aktivován útočník:
| SMS příkazy | Jméno | Popis |
|---|---|---|
| CHANGE_IAP | Zkuste se připojit k Internetu změnou telefonu APN | |
| PROCESS_LIST_ADD | Přidat název procesu do seznamu, který byl zabit Tigerbot | |
| PROCESS_LIST_DELETE | Odstraňte název procesu ze seznamu, který bude zabit Tigerbot | |
| AKTIVNÍ | Aktivovat tuto kopii Tigerbot s konkrétní klíč. |
CHANGE_IAP
Když Tigerbot obdrží tento příkaz:
- Pokusí se připojit k síti pomocí APN v res / XML / default_apns.xml
- Pak se vrátí na stav sítě s SMS " Wifi je otevření, zrušte změnit APN. "," Network změna nefungoval, nebyl nalezen použitelný AP, AP proud: $ ap "nebo" síť změna:. $ ap "
PROCESS_LIST_ADD a PROCESS_LIST_DELETE
Analýza ukazuje, že dva příkazy - PROCESS_LIST_ADD a PROCESS_LIST_DELETE - jsou navrženy tak, aby spravovat seznam jmen procesu, a to po každých 5 minut, Tigerbot zabít všechny z nich. Nicméně, kód se zdá být neúplné. To jen restartuje balíček com.android.packageinstaller když verze SDK je menší než 8 (Android 2.1 nebo nižší).
AKTIVNÍ
Když Tigerbot obdrží aktivní příkaz pošle HTTP POST jeho backend serveru:
Hodnota v těle POST jsou šifrovány a podepsán upraveným algoritmem. Obsahuje IMEI, APP klíč vytvořený nativního kódu, [key] ve vedení, m = mA (pro indikaci, že je to aktivovat dotaz), časové razítko a podpis.
Tigerbot také klade důležité informace jako například adresy URL a algoritmy do nativního kódu libpng.so , což ztěžuje výzkum kód.
Příkaz set C
Také jsme si Tigerbot může být vypnut hovoru:
| Call Příkazy | Jméno | Popis |
|---|---|---|
| DEACTIVE | Deaktivovat Tigerbot |
DEACTIVE
Při vyvolání příkazu, bude Tigerbot pokusu o odeslání HTTP POST na tomto serveru. Hodnota v těle POST jsou šifrovány a podepsán stejný použitého algoritmu aktivní příkaz (viz obr. 7). Obsahuje IMEI, cca klíč vygenerovat pomocí nativního kódu, [key] ve vedení, m = mdeactive (pro indikaci, že je to požadavek deaktivovat) časové razítko a podpis.
Příkaz set D
Zde je poslední sadu příkazů, které Tigerbot je schopen provést, z nichž stále točí kolem získávání informací o zařízení a jeho uživatele.
| SMS příkazy | Jméno | Popis |
|---|---|---|
| UPLOAD_NETWORKINFO | Reagovat GSMLocation nebo CDMALocation | |
| SEND_MSG_TO_TARGET | Pošle SMS s obsahem B | |
| RESTART_DEVICE | Restartujte zařízení | |
| CAPTURE_IMAGE | Zachycení obrazu | |
| CHANGE_SIM_NOTIFY_SWITCH | Zapnout nebo vypnout oznámení, pokud změně SIM |
Důležité brát-aways
Rychlý způsob, jak zjistit, zda váš telefon Tigerbot instalaci (pravděpodobně bez vašeho vědomí) je poslat DEBUG příkaz k telefonu. Pokud se vrátí název procesu seznamu, pak majitel je obětí Tigerbot.
Tigerbot je sofistikované aplikace. Nejen, že je vzdáleně ovládat přes SMS, to může také být řízen telefonní hovory. A některé důležité části kódu do nativní knihovny. Ve skutečnosti, tam jsou některé příkazy, které jsme se pokrýt v této zprávě.
Pokud bychom měli popsat kód, zdá se, že vývojář aplikace není plně se s tím ještě. Některé funkce ještě nejsou kompletní. To nás vede k názoru, že bychom mohli vidět aktualizovanou verzi v budoucnu.
Způsoby, jak chránit váš přístroj před hrozbami, jako jsou mobilní Tigerbot, podívejte se na Mobile Threat Information Hub .
Žádné komentáře:
Okomentovat