Android Malware přezkoušení Klade McAfee Mobile Security na začátek třídy

6. března, široce uznaný ústav AV-Test zveřejnila dlouho očekávaný přezkum Malware Protection pro Android se skutečně neuspokojivé výsledky pro nás   a zpráva byla široce citován v médiích.

Analýza na naší straně se rychle ukázalo, že zastaralá verze McAfee Mobile Security byl testován. Včera AV-Test oznámili, že spustit přezkoušení a vydala aktualizaci výsledků. Tentokrát aktuální verze McAfee Mobile Security odst. 2.0.1.366) a nové výsledky ukazují, kde jsme (a ty) od nás očekávají, že: v horní části.

V testu se nejlépe hodnocené 10 produktů s> 90 procent objasněnosti. Podrobnější zpráva o malware detekce rodiny ukazuje, jsme byli jedním z pouhých tří výrobků s dokonalou detekci malwaru prostřednictvím všech rodin. Můžete si přečíst všechno o zkoušce a stáhnout celou zprávu  na AV-Test.org .

Jsme rádi, že zmatek by mohl být odstraněn. Pokud jste někdy potřebovali přesvědčivý důvod k aktualizaci na nejnovější verzi, pak tato zkouška je jeden.

Google Code Projekty hostitele Android Malware

Google Code je známá platforma, která poskytuje jednotné prostředí pro spolupráci vývojářů pracujících na open source projektech. Je to také cíl pro malware vývojáře. Na rozdíl od toho, co si mohou myslet, to není poprvé, co Google Code byla použita k rozšíření či uložit malware. (Najdete příklady v objevu nahraných obrázků, které vedly k falešných kodeků  v roce 2009  a trojských koní Windows / backdoor / heslo pro krádež keyloggery nalezených  v roce 2010.)  Dále jsme nedávno našel malware, který používá Google Android kodexu jako rozdělení platforma pro obě potenciálně nežádoucích programů (pay-per-install kampaně nebo adware) a škodlivé aplikace v stahují).

První varianta současného malware v Google Code byl nalezen v třetí strany Android Market zabalil v čínské verzi legitimní paměti optimalizace aplikací. Pokaždé, když se aplikace spustí, nebo zaváděcí proces úpravy (přístroj restartován nebo zapnuta), užitečné zatížení začíná jako službu běžící na pozadí.Služba kontroluje na vzdálený server (s URL zakódované v souboru uvnitř adresáře "Aktiva") pro aplikace ke stažení, které ukládají informace do databáze vytvořené uvnitř přístroje. (Klikněte na obrázek pro jeho zvětšení.)

Údaje získané z webového serveru obsahuje jméno balíku, jméno souboru Apk a cestu používané ke stažení aplikace, které poukazuje na projektu Google Code:

Databázové záznamy, zda konkrétní aplikaci byl stažen, instalaci, nebo otevřeny. Jakmile jsou data uložena, což je ke stažení provedení závit, bez souhlasu uživatele, první aplikace v databázi. Tato aplikace je uložen ve složce stažení v SD kartě:

Jakmile se stahování skončí, škodlivý aplikace pokusí nainstalovat aplikaci tím, že zobrazuje upozornění, že triky uživatel do podezření, že je aktualizace systému. (Překlad z čínštiny: 系统 更新 = "Aktualizace systému" a 您好, 已经 获取 ... = "Dobrý den, poslední oprava byla stažena, klikněte zde pro instalaci"):

Když uživatel poklepe tohoto oznámení stáhnout spuštění aplikace se instaluje pomocí běžného postupu Android. Podezřelé aplikace uložené v několika projektech Google Code byly analyzovány, některé z nich byly klasifikovány jako PUP, protože mají nežádoucí chování, jako je odesílání soukromých dat (IMEI, telefonní číslo) na vzdálené servery. Vědci našli novou variantu malwaru, který, místo aby byly zabalené v legitimní aplikace, je čistý škodlivý kód, který nevykazuje žádné ikony v hlavním menu. Nicméně, to může být viděno instalována v Stažené části Správa aplikací pomocí klamavé včelí plástve ikonu a titul Android 3.0 patch:

Ačkoli žádný z analyzovaných vzorků obsahuje kořen využije, tato varianta má kód pro ověření, zda zařízení je již zakořeněné. Pokud ano, bude to pokračovat s tichou instalaci staženého pomocí příkazu "pm install-r." Druhým rozdílem oproti variantě do projektu Google Code je, že škodlivý chování se začíná pouze tehdy, pokud je na obrazovce zařízení vypnuto , pravděpodobně aby aktualizace systému se objeví normální.

Navzdory skutečnosti, že většina aplikací jsou k dispozici v zákoníku projektů Google nejsou ani nebezpečný, ani mláďata, může vazby uložené na vzdáleném serveru, spolu s textem oznámení, kdykoli změnit. Tak prakticky jakákoliv aplikace je může být instalován na zařízení bez souhlasu uživatele. McAfee Mobile Security detekuje všechny tyto varianty jsou Android / FakeUpdates.

Aktualizace: Postižené projekty byly odstraněny Google.

Je Google Android zmatený zabezpečení?

Zatímco Google se zjevně snaží vytvořit bezpečnější prostředí ve vztahu k operačním systémem Android, některé z těchto změn odcházejí mi trochu zmatený. Nedávno jsem objevil zajímavé chování v souvislosti se výchozí e-mailový klient v Cream Ice 4.0 Sandwich.

Zdá se, že pokud se pokusíte stáhnout nebo otevřít zip soubor, který byl v rámci e-mailového klienta, Google varuje před možností malware:

No myslím zip může obsahovat malware nebo libovolný počet dalších věcí, jako obrázky, textové soubory, co si jen vzpomenete. Tak jsem se rozhodl zjistit, co se stane, když jsem poslal sám soubor APK, výchozí instalační soubor aplikace pro Android, a pak se pokusil otevřít přílohu:

Tak to je zajímavé. Jenom nesmí otevřít. Snažil jsem se s několika APK souborů a byl vydán stejný výsledek. Pak jsem se rozhodl vyzkoušet toto chování z mobilního prohlížeče. Po přihlášení ke svému účtu testovací e-mailu (který je stejný jsem použil v předchozích testů) jsem šťastně stáhli zip soubor z webu, ale pořád jsem nemohl otevřít:

Nicméně, jsem byl schopen stáhnout soubor APK, a po dokončení stahování jsem byla pořízena pomocí standardních instalačních obrazovek:

Jak můžete vidět, zatímco koncept směřuje správným směrem, je nevalný výkon v nejlepším.Proč zabránit stahování a otevírání souborů ZIP? Proč nejsou k dispozici stejné omezení APK je stažené z webu? Zdá se mi, že Google má stále nějaké problémy s implementací, pokud jde o ochranu uživatelů. Je třeba poznamenat, že všechny tyto testy byly provedeny s emulátorem Android pomocí nejnovější dostupnou verzi Ice Cream Sandwich. Když jsem poslal stejný APK do mého fyzického zařízení se systémem sendvič zmrzlinou a otevřel ji gmail app jsem nabídl Instalovat odkaz. To vše se zdá být velmi v rozporu se mi.

Zvláštní poděkování patří mému kolegovi Roel Schouwenberg o pomoc s testováním týden

Falešná hra stránek Google vede k Rogue. APK aplikace

Android Market  byl právě  nedávno přejmenována na  Play Google  a přesto, že již existuje zločinci využívají této. Jsme spatřili nově vytvořené domény, které napodobují na  Play Google  stránky a obsahovat škodlivé aplikace.

Škodlivý URL  http:// {} BLOKOVÁNA AY-google.ru  zobrazí falešný ruský  Google Play  stránky. Když překládal do angličtiny, text zní: "  Stáhnout Google Hra pro Android Play Google se dříve známá jako Android Marketu, ale nyní velká a vlivná staré Android Market v kombinaci s obchodním knih Google ebookstore multi-format filmy a world music Google music . "

Při snaze vybrat klikací obrázky v místě, byl jsem vedl k dalšímu škodlivému ruské doméně, která nabízí podezřelé Android aplikace. Snažil jsem se stáhnout Play Google aplikace,  google-play.apk , z adresy URLhttp:// {} BLOKOVÁNA AY-google.ru  , ale to jen poukazuje na škodlivý soubor detekován jako ANDROIDOS_SMSBOXER.AB . To vede k další záludnou URL adresu,  http:// {} BLOKOVÁNA -api.ru. 

ANDROIDOS_SMSBOXER.AB je prémie násilník typ mobilního malwaru. Takový malware souhlasí dotčených přístrojů na nadstandardní služby bez souhlasu uživatele, což vede k nežádoucím poplatků.

Tento konkrétní malware je velmi podobný ANDROIDOS_OPFAKE.SME - malware Android, který dělal zprávy minulý měsíc pro jeho  schopnost Polymorph . Nicméně, podobně jako ANDROIDOS_OPFAKE.SME, server, který je hostitelem ANDROIDOS_SMSBOXER.AB jednoduše vloží nepotřebné soubory do APK, aby se vyhnul odhalení. Podle analytika hrozby Kervin Alintanahin, řekl rutinní technicky nelze považovat za polymorfní chování, zejména proto, že se žádné významné změny udělat, aby se na APK zdrojovém kódu. Díky tomu mohou bezpečnostní software ještě snadno rozpoznat škodlivé soubory.

Kromě detekce škodlivého. APK soubory, všech souvisejících škodlivých URL adres již blokována pomocí Trend Micro Smart Protection Network. Trend Micro zákazníci nemusí obávat, jak ANDROIDOS_ SMSBOXER.AB je v současné době zjištěna Trend Micro Mobile App reputace.

Kdyby nic jiného, ​​tak tento útok ukazuje, jak rychle zločinci mohou přizpůsobit se rychle se měnícím mobilní krajiny. Uživatelé by měli cvičit extrémní opatrnost při jednání s aplikací a app obchody obecně. Pro více informací o mobilních hrozeb, prosím, podívejte na naše  mobilní Threat Information Hub .

Android Malware slibuje Video Zatímco Krádež Kontakty

Nedávno jsme objevili nový Android Trojan na oficiálním trhu Play Google, která zobrazuje video stažené z internetu, ale pouze pokud je některé citlivé informace již dříve zaslala na vzdálený server. Tyto škodlivé aplikace jsou určeny pro uživatele z Japonska a zobrazení "přípojná vozidla" na nadcházející videoher pro Android. Zde je jeden příklad:

Nebo anime / japonské dospělé videa:

Pokud aplikace má být instalován, dva podezřelé oprávnění čitelný kontaktní údaje a číst telefonní státu a identity jsou požadované. Ani je potřeba pro hlavní účely použití, který je pro zobrazení videa z internetu. Důvodem pro tyto žádosti zřejmé, že první akce, která se malware, kdy vykoná je získat, v pozadí, tyto citlivé informace ze zařízení bez souhlasu uživatele:

• Android ID: Na rozdíl od většiny škodlivého softwaru Android a mláďata (potenciálně nežádoucích programů), které se shromažďují na IMEI pro jednoznačnou identifikaci zařízení, tento škodlivý aplikace získá android_id, který  podle Android API  je "64-bitové číslo, které je náhodně generován na zařízení je První boot a měly by zůstat konstantní po celou dobu životnosti zařízení. "
• Telefon: Získá telefonní číslo přístroje. READ_PHONE_STATE je nutné povolení ke sběru těchto informací.
• Seznam kontaktů: Získá jméno, telefonní číslo a e-mail každé osoby v seznamu kontaktů.

Zatímco data jsou sklizeny, oběť vidí tento "Loading" zpráva:

Jakmile je informace získána, škodlivý aplikace odešle ji na vzdálený server jako prostý text:

Pokud byla data úspěšně odeslán, aplikace požaduje konkrétní video na stejném serveru a zobrazí jej pomocí VideoView komponentu. Pokud selže malware na svém pozadí krádeže (např. zařízení nemá připojení k Internetu), zpráva v japonštině říká, že došlo k chybě a videa nebyl vložen:

Zatím jsme objevili 15 žádostí ze dvou vývojářů, že podle statistik Google Play, které byly staženy nejméně 70.000 uživatelů. Z důvodu ochrany soukromí riziko, že tyto aplikace představují pro Android zákazníci, všechny z nich byly odstraněny z trhu. McAfee Mobile Security detekuje tyto hrozby jako Android / DougaLeaker.A. Uživatelé by si měli ověřit na trhu Play Google předchozí instalace, že žádost není požádat o povolení k výkonu činnosti, které nesouvisí s jeho účelem.

Beta verze aplikace pro Android Spytool krade SMS zpráv

Během svého vyšetřování mobilních hrozeb ve volné přírodě, jsem objevil spytool, který je v současné době k dispozici na Google Play , které se aktivně projednává na některých fórech hackerů. Tento nástroj je beta verze je k dispozici na místě od 11. března. Odhadem 500 - 1000 uživatelů si již stáhli řekl spytool, který Trend Micro detekuje jako ANDROIDOS_SMSSPY.DT.

Na základě naší analýzy, to spytool shromažďuje SMS zpráv z infikovaného mobilního zařízení a posílá to na vzdálený FTP server v pravidelných časech stanovených v app na instalaci. Níže je uveden konkrétní kód vložený do aplikace, která spustí škodlivý FTP Nahráno úkol, který vysílá ukradené zprávy na definované FTP servery.

Postižení uživatelé jsou v nebezpečí, že jejich osobní a citlivé informace ukradený potenciálních útočníků, kteří by mohli používat tyto k nekalým účelům.

Jak aplikace je stále ještě v beta testování, špionáž na mobilním zařízení pomocí tohoto nástroje představuje určitá úskalí. Za prvé, je třeba instalovat na cílové zařízení bez oběti o tom věděli. Za druhé, potenciální útočníci budou muset nastavit své vlastní FTP servery, což může být obtížné pro ty méně vyspělé IT znalostí. Nicméně, vývojáři za tento nástroj pravděpodobně vydá aktualizovanou verzi, která může být i funkce a vylepšení, aby se usnadnilo jeho používání.

Trend Micro uživatelé nemusí obávat, protože jejich mobilní zařízení jsou chráněny před touto hrozbou přes Mobile Security Personal Edition . Uživatelům se doporučuje aktivovat funkci zámku svých mobilních zařízení pro zvýšení bezpečnosti. Při instalaci aplikace, uživatelé by měli vždy překontrolovat požadovaná oprávnění k aplikaci, speciálně, pokud je v žádosti o povolení mimo jeho předpokládanou funkci.

ZTE skóre M Android telefon backdoor

Průměr ZTE M telefon, zřejmě k dispozici prostřednictvím metra PCS v USA, přichází se speciální setuid backdoor.Backdoor pro změnu nepoužívá pevnou "tajné" heslo uživatele root. Ale místo toho, suid binary "sync_agent" má být volán s speciální parametr.

Pokud máte k telefonu Android, podívejte, pokud máte tuto žádost do "/ bin / systen". Na tomto místě je pouze tento jeden konkrétní model, údajně tuto aplikaci dárek, ale to by bylo divné, že nebude mít ZTE používat stejný backdoor na jiných modelech. 

Katalogizace a omezení přidávání aplikací by měla být standardní unixový kalení krok. Nejjednodušší způsob, jak podle mého názoru najít setuid binárních souborů je použít find:

find /-x-type f-perm + u = y

Soubory s nastaveným bitem spustí jako uživatel vlastnící soubor, ne jako uživatel vykonávající soubor. To se obvykle používá, aby běžní uživatelé provádět určité úlohy správy.Takže ověřit, zda je nutné nebo není nutné provádět zvláštní binární jako normální uživatel před vyjmutím SUID bitu.

Aktualizace: Soubor byl také najít na Skate ZTE.

Rogue Farm Frenzy 3 pro Android Unearthed

Poté, co nás nepoctiví verze Instagram a Angry Birds vesmíru , další škodlivý web umístěn na Rusku zjištěno, že rozprodávat falešný Farm Frenzy 3 verze. Pachatelé za tuto falešnou aplikaci doufají, že uživatelé, kteří nerozlišují dostatečně, mohou stáhnout jejich škodlivý verzi, která je zachycen Trend Micro jako ANDROIDOS_FAKE.DQ.

Pokud se uživatelé pokusí hrát na uvedenou aplikaci, malware zobrazí obrázek níže:

Kliknutím na první tlačítko na obrázek spouští SMS zpráva musí být zaslána na následující prémiových čísel. Na druhé straně, postižení uživatelé vznikají zbytečné poplatky za uvedené zprávy:

• 8883
• 8887
• 6151
• 1
• 2855
• 9151
• 9685
• 9684

Bohužel, placení poplatků za neoprávněné zpráv je pouze polovina problém pro uživatele. Výběr řekl tlačítko také změní zobrazení na displeji (viz níže), ve kterém výběru na první tlačítko může vést uživatele k nebezpečným internetových stránkách.

Tento incident je jen jedním z několika malware Android jsme viděli spoofing populární aplikace. Kromě již zmíněné falešné Instagram a Angry Birds vesmíru , jsme nedávno odhalil malware, který se maskuje se jakoAdobe Flash Player aplikace pro Android OS.

Trend Micro chrání OS Android telefony přes Mobile Security Personal Edition aplikace, která zabraňuje přístupu k těmto nebezpečným stránek a stahování škodlivého. APK soubory na svůj mobilní telefon. Kromě blokování přístupu k nebezpečným serverům, naše aplikace kontroluje každou aplikaci nainstalujete, aby zajistili svou bezpečnost.

Malware se převleče za Flash Player pro Android

Minulý měsíc jsme viděli útočníci použít popularita aplikací , jako Instagram a Angry Birds Space dodat malware na Android telefony. Tentokrát jsme spatřili stejnou taktiku sociálního inženýrství pomocí Adobe jméno.

Tato stránka je také zjištěno, že být hostitelem ruských domén, podobně jako falešné Instagram a Angry Birds Space aplikací, které jsme dříve hlášeny. Pro další uživatele nalákali na stažení falešný Adobe Flash Playeraplikaci, text na webové stránce tvrdí, že je plně kompatibilní s jakoukoliv verzí OS Android:

Když se uživatelé rozhodnou stáhnout a nainstalovat aplikaci řekl falešný, místo připojuje na jinou adresu URL ke stažení škodlivé. APK soubor, který Trend Micro detekuje jako ANDROIDOS_BOXER.A . ANDROIDOS_BOXER.A je prémiová služba násilník, což znamená, že odesílá zprávy na prémiová čísla bez vašeho souhlasu, což vede k nežádoucím poplatků. Tento druh malwaru Android je jen jeden z typů jsme byli schopni identifikovat v naší infographic a Snapshot hrozeb Android .

Při dalším vyšetřování, jsme viděli spoustu adres URL, které jsou hostovány na stejné IP jako tento konkrétní webové stránky. Na jmenovat jen používané v těchto URL, zdá se, že Android je oblíbeným cílem kybernetických zločinců za tohoto režimu.

Nechtěné aplikace v Google Play Pose jako Fake AV

V posledních letech jednou z nejrozšířenějších škodlivých kódů pro PC (a v poslední době pro uživatele systému Mac) je falešný, antivirový software, který předstírá, že je legitimní bezpečnostní program. Jejím skutečným cílem je účtovat poplatek obětem odstranit neexistující hrozbě. Stejný hrozba je nyní portován na mobilní zařízení. V některých případech vidíme stejné nebo podobné chování: dostat se příjmy od uživatelů prostřednictvím SMS na prémiová čísla či malware, které představuje, jak bezpečnostní software na podporu uživatele k instalaci škodlivého app ( jako je Android / Zitmo.F ).

V poslední době 17 podezřelé aplikace nahrané na developerské thasnimola, byly nalezeny v oficiálním trhu Play Google:

Většina z nich používat štít jako ikony se prokázat, že by mohla souviset s "ochranou" software, ale některé z nich také používat non-AV názvy a popisy s populární klíčová slova jako "zdarma", "Video Downloader", "Call Recorder, "a" SMS "přitáhnout pozornost uživatelů a podpořit instalaci aplikace. Jedna zajímavá aplikace je zdarma Top, který tvrdí, "rychlý a nenáročný škodlivý app ochranu pro váš telefon." Při pohledu na tenhle další, je jasné, že Top Zdarma předstírá, že je AV software, protože se používá screenshoty legitimní AV softwarem jako svým vlastním :

Některé z nich také použít "antivirus zdarma" banner na App internetové stránce:

Nicméně, na rozdíl od falešné-antivirového softwaru hrozeb pro PC a Mac, tato aplikace není získat příjmy od uživatelů tím, že zachytí neexistující Android malware. Místo toho tyto aplikace vydělat peníze pomocí více legitimní metodu: inzeráty. Všechny podezřelé aplikace byly vytvořeny pomocí stejného zdarma on-line služby používá k vytvoření Android / DIYDoS hack nástroj. Z tohoto důvodu chování je téměř stejná: Při spuštění aplikace, součást WebView zobrazuje obsah URL, která jsou uložena v XML souboru uvnitř res / surový složky:

Jeden rozdíl mezi těmito aplikacemi a Android / DIYDoS je, že mezi ně patří inzerát modulu poskytované on-line služby, které vytváří aplikace, které odesílají citlivé informace o zařízení (IMEI, GPS souřadnice) na vzdálený server:

Zde je kompletní seznam nežádoucích aplikací, které jsme nahlásili na Google:

Název aplikace	Balíček	Instaluje (Google Play)
láska sms	com.wDictionarye	100-500
vtipy	com.wcopywap2	100-500
Video převodník	com.whackmanmobisms	100-500
Poslat SMS zdarma	com.wPhotoscapeyy	100-500
SMS Sender	com.wcopywap6	100-500
nahoru bez	com.wcopywap4	100-500
přátelství sms	com.wvideodown2	100-500
hissam sms sbírky	com.wcall	100-500
top sms zdarma	com.wcopywap5	10-50
sms zdarma	com.wSpokenEnglisheee	10-50
bez odesílatel zprávy	com.wcopywapphoto	10-50
shayaries	com.wTabla	1-5
sms	com.whissamsmscollections	1-5
sms sbírky	com.wChromea	1-5
volání zdarma rekordér	com.wfreecallrecorder	N / A
YouTube Video Downloader	com.wvideo9	N / A
SMS zdarma	com.whissamsmscollections2	N / A

Všechny z nich již byly odstraněny z Play Google. Pokud máte zapnutou funkci detekci potenciálně nežádoucích programů (štěňata, naše výchozí nastavení), pak McAfee Mobile Security pro Android bude detekovat tyto aplikace v Android / DIYAds.