Všichni víme, jak rychle chytrý telefon na trhu roste. Spolu s tím, složitost a čísla mobilního malwaru jsou také na vzestupu. I když jsem šel přes náš mobilní malware kolekce, jsem našel zajímavý kousek malware pro Android.Tento malware se chová jako Bot IRC, stejně jako jsme viděli v malware Windows.
Tento malware binární není přebalit aplikace jako jsme viděli v minulosti. To se převleče za hry Madden NFL 12. Malware má tři moduly vložené do něj: Hlavní složkou je vlastně kapátko, že upustí sadu dalších prvků na ohrožena uživatelském zařízení.
Obrázek 1: Android Malware komponent
Při instalaci aplikace škodlivý klesne tyto tři nebezpečné složky:
- Header01.png: zakořenění Exploit
- Footer01.png: IRCBot
- Border01.png: SMS Trojan
Obrázek 2: Soubory ve složce aktiv hlavní složky
Co je to všechno?
Soubory header01.png a footer01.png maškarádu jako obrazové soubory PNG, ačkoli oni jsou původně ELF soubory. Header01.png působí jako zakořenění zneužití, už jsme o tom mluvili v dřívějším blogu .Účelem této komponenty je kořen zařízení a poté pozvednout přístroje privilegium. Jakmile přístroj má své kořeny, footer01.png připojí ke vzdálenému IRC kanálu. Konečná složka, boarder01.png, působí jako trojský kůň, který odesílá SMS zprávy na prémiová čísla. Ostatní klávesu *. Png v balení jsou jen náhodné obrazové soubory ke zmaření hash založené na detekci. Toto může být viděno v detailech ze tří složek.
Hlavní Kapátko komponent
Hlavní kapátko má rozlohu více než 5 MB. Soubor třídy AndroidBotActivity je zodpovědný za svržení další tři škodlivé složky na zařízení, stejně jako pro nastavení nejvyšší oprávnění k adresáři, ve kterém klesne tyto dílčí soubory. Tento manifest Android soubor nám mlhavou představu o tom, co tento malware binární je schopen: Jejich jména balíků a štítky byly označovány za com.android.bot a AndroidBotActivity.
Obrázek 3: Android soubor manifestu hlavní složky
Obrázek 4: Škodlivý soubor třídy AndroidBotActivity kapátko kód
Škodlivý soubor třídy vytvoří adresář / data / data nebo com.android.bot / soubory a padá tři dílčí soubory, kořenový využívají, IRCBot a SMS trojských ve složce ohrožena zařízení. To pak dává oprávnění chmod 777 do tohoto adresáře. Každé číslo představuje chmod oprávnění dané různým uživatelům, jako vlastníka, skupinu a další, zde malware binární nastaví oprávnění chmod na 777 dát číst, psát a spouštět oprávnění pro všechny uživatele do této složky.
Obrázek 5: Nastavení souboru povolení chmod 777
Root Exploit komponent
Kořen exploit složka není nic nového, jak jsme již diskutovali v mém předchozím blogu. Nicméně, malware autoři mírně upravený kód. Kořen zneužití komponent, jednoduše řečeno, kořeny zařízení k jeho nejvyšší výsady, aby útočník získat oprávnění správce a mohou vykonávat příkazy od vzdáleného serveru. Jakmile přístroj má své kořeny, provede IRCBot komponent souboru header01.png.
Obrázek 6: Kód provést IRCBot komponentu
IRCBot komponent
To je v podstatě backdoor Trojan, který se chová jako IRCBot pro připojení ke vzdálenému serveru a přijímat a provádět příkazy.
Na analýzu tohoto malwaru binární dále, zjistíme, že jakmile je systém má své kořeny nastaví značku "1", což znamená, že systém je již zakořeněné. Tak malware může přeskočit pokusu o zneužití zařízení, které je již zakořeněný a také od znovu spuštění souboru footer01.png.
Obrázek 7: IRCBot součást tiše nainstaluje trojského SMS komponentu
Malware pak připojí ke vzdálenému serveru IRC 199.68. <removed> A generuje náhodné uživatelské jméno, které se používá k přihlášení do vzdáleného IRC kanálu.
Malware se připojí k IRC kanál # Andros a čeká na příkazy ze strany útočníka.
Jakmile se začne přijímat příkazy ze vzdáleného místa, analyzuje je a provede akce. Našli jsme tři příkazy:
- PRIVMSG # Andros: [SH] -% s.
- PRIVMSG # Andros: [ID] -% d
- PRIVMSG # Andros: [EXIT] - ukončení objednat.
SMS Trojan komponent
Poslední součástí balíčku je pravidelné SMS Trojan, který pošle SMS na prémiová čísla, které je obviňují oběť. Ten také vydávat za image souboru PNG, ale byl původně. Apk soubor, balíček aplikace pro Android. Viděli jsme tento typ Premium SMS násilníkem mnohokrát v minulosti.
Rozdíl v tomto malware binární ve srovnání s ostatními, je jednak to, že získá geo umístění SIM karty a na základě umístění geo zasílá SMS na prémiová čísla odpovídající dané místo geo. To se provádí v následujícím úryvku:
Obrázek 8: Úryvek k získání geo umístění SIM karty
Trojan pošle SMS na prémiová čísla, pokud SIM geo bylo zjištěno, že se.
Obrázek 9: Premium SMS čísla
Trojan má také kód pro ověření zprávy a odesílatele všech přijatých SMS zpráv. Pokud odesílatel zjistí, že některý z výše uvedených čísel, malware přeruší tu zprávu. Tento krok se provádí abortBroadcast (); funkce.
Trojský kůň poté vysílá SMS na vzdálený server spolu s mobilním číslem a do těla zprávy.
Abych to shrnula, zde je schéma pro tento malware Android:
Obrázek 10: Schéma
Zde je příklad toho, jak nebezpečná tato infekce může být: Pokud oběť přijme zprávu z banky, která má obousměrný ověřovací kód, který tělo zprávy, spolu s mobilní telefonní číslo, bude odeslána do vzdáleného útočníka, který může později ohrozit bankovní operace. Toto samo o sobě nám říká, jak vážné to může být útok. Nicméně, my nevíme, co útočníci dělat s těmito daty, ani to, co jejich server-side kódu dělá.
V každém případě je to připomínkou toho, že autoři malwaru platformu Android svůj oblíbený mobilní útoku a přicházejí s novými strategiemi infekce mohla ohrozit uživatele a jejich data. Očekáváme, že tento trend bude pokračovat díky rostoucí trh chytrý telefon, jakož i trvalý růst podnikové použití, bankovní funkčnost a další spotřební využití.
Zjistíme hlavní složku tohoto malwaru, jako Android / Multi.dr, kořenová složka exploit jako Linux / Exploit-Lotoor.a a IRCBot komponent jako Android / IRCBot.a a SMS Trojan jako Android / SMS.gen.
Žádné komentáře:
Okomentovat