Самый продвинутый троян для Android

  1. Трюки трояна
  2. Анализ кода
  3. Получение привилегий
  4. Общение с владельцами
  5. Инструкции C & C

Недавно мы получили приложение для Android для анализа. На первый взгляд мы знали, что это было исключительное в своем роде. Все строки в DEX-файле были зашифрованы, а код - скрыт.

Этот файл оказался многофункциональным трояном, который может: отправлять SMS-сообщения на премиальные номера; загружать другие вредоносные программы, устанавливать их на зараженное устройство и / или отправлять через Bluetooth; удаленно выполнять команды на консоли. В настоящее время продукты «Лаборатории Касперского» определяют эту вредоносную программу как Backdoor.AndroidOS.Obad.a.

Авторы вредоносных программ обычно пытаются максимизировать код в своих творениях, чтобы усложнить жизнь специалистам по вредоносным программам. Однако, редко, маскировка в мобильных вредоносных программах так же продвинута, как Obad.a. Более того, полное затемнение кода было не единственной подозрительной вещью в этом новом трояне.

Трюки трояна

Создатели Backdoor.AndroidOS.Obad.a обнаружили ошибку в популярном программном обеспечении DEX2JAR - эта программа обычно используется аналитиками для преобразования APK-файлов в более удобный формат Java-архива (JAR). Эта уязвимость, воспринимаемая киберпреступниками, искажает преобразование байт-кода Dalvik в байт-код Java, что в конечном итоге усложняет статистический анализ этого трояна.

Киберпреступники обнаружили ошибку в операционной системе Android, которая относится к обработке файла AndroidManifest.xml. Этот файл находится в каждом приложении Android и используется для описания структуры приложения, определения параметров его запуска и т. Д. Вредоносное программное обеспечение модифицирует AndroidManifest.xml таким образом, что оно не соответствует стандартам Google, но все еще должным образом обрабатывается на смартфоне благодаря идентифицированному разрыв. Все это очень затрудняло проведение динамического анализа этого трояна.

Создатели Backdoor.AndroidOS.Obad.a также использовали еще одну, ранее неизвестную ошибку в операционной системе Android. Использование этой уязвимости позволяет вредоносным приложениям получать расширенные привилегии администратора устройства, не появляясь в списке приложений с такими привилегиями. В результате невозможно удалить вредоносную программу со смартфона после получения расширенных привилегий.

Наконец, стоит добавить, что Backdoor.AndroidOS.Obad.a не имеет интерфейса и работает в фоновом режиме.

Анализ кода

В этом вредоносном приложении все внешние методы вызываются через механизм отражения. Все строки зашифрованы, включая имена классов и методы.

Каждый класс имеет метод локального дескриптора, который получает необходимую строку из локально обновленного байтового массива. Все строки «скрыты» в этой таблице.

Наиболее важные строки, содержащие адрес сервера C & C, проходят дополнительный этап шифрования. Для этого троянец сначала проверяет, есть ли доступ к Интернету, а затем загружает веб-сайт facebook.com. Он извлекает определенный элемент этой страницы и использует его в качестве ключа расшифровки. Таким образом, Backdoor.AndroidOS.Obad.a может расшифровывать адреса C & C только при наличии доступа к Интернету. Эта особенность еще больше усложняет анализ этого вредителя.

Некоторые строки дополнительно зашифрованы. Локальная ловкость получает закодированную строку в Base64 и декодирует ее. Декодированная строка сначала дешифруется с использованием операции XOR с использованием ключа MD5, а затем дополнительно расшифровывается с использованием строки MD5 «UnsupportedEncodingException». Чтобы получить ключ MD5, тот же локальный расшифровщик расшифровывает следующую строку, которая затем используется в качестве аргумента для MD5. Таким образом, ключевые строки защищены, например, имя функции SendTextMessage.

Таким образом, ключевые строки защищены, например, имя функции SendTextMessage

Мы начали наш анализ и сумели расшифровать все строки:

Мы начали наш анализ и сумели расшифровать все строки:

Имея в руках результаты процесса расшифровки, нам удалось воссоздать алгоритм работы приложения.

Получение привилегий

Сразу после запуска приложение пытается получить права администратора устройства.

Как мы писали ранее, одной из особенностей этого трояна является то, что вредоносное приложение не может быть удалено после того, как у него есть права администратора: используя ранее неизвестную уязвимость в Android, вредоносное приложение может использовать расширенные права, но не отображается как приложение с права администратора устройства.

Мы уже сообщили Google об уязвимости безопасности Android, которая позволяет вам получить права администратора устройства.

Благодаря расширенным правам администратора устройства, троянец может заблокировать монитор устройства на срок до 10 секунд. Обычно это происходит после подключения устройства к бесплатной сети Wi-Fi или активации Bluetooth; при установленном соединении троянец может копировать себя и другие вредоносные программы на другие устройства, расположенные рядом с устройством. Возможно, что Backdoor.AndroidOS.Obad.a пытается помешать пользователю обнаружить вредоносную активность.

Кроме того, троянец пытается получить права администратора, выполнив команду «su id».

Общение с владельцами

Информация о том, были ли получены права суперпользователя, отправляется на сервер C & C. Получение прав администратора может поставить киберпреступников в выгодное положение при удаленном выполнении консольных команд.

После первого запуска вредоносное приложение собирает следующую информацию и отправляет ее на сервер C & C по адресу androfox.com:

  • MAC-адрес устройства с Bluetooth
  • Наименование оператора
  • Номер телефона
  • IMEI
  • Баланс по счету телефона пользователя
  • Получены ли права администратора устройства
  • Местное время

Собранная информация отправляется на сервер в виде зашифрованного объекта JSON.

Эта информация отправляется на текущий сервер C & C каждый раз, когда устанавливается соединение. Кроме того, вредоносная программа сообщает о своем текущем состоянии своему владельцу: отправляет текущую таблицу премиальных номеров и префиксов, на которые следует отправлять текстовые сообщения (параметр «aos»), список задач («задача») и список серверов C & C. Во время первого сеанса связи с C & C он отправляет пустую таблицу и список адресов C & C, которые были расшифрованы, как описано выше. Во время сеанса связи троянец может получить обновленную таблицу номеров премиум-класса и новый список адресов C & C.

В ответ сервер C & C отправляет еще один объект JSON, который после расшифровки может выглядеть следующим образом:

{"nextTime": 1, "conf": {"key_con": "oKzDAglGINy", "key_url": "3ylOp9UQwk", "key_die": "ar8aW9YTX45TBeY", "key_cip": "lRo6JfLq9CRSKyGyg6) 66F6D6F6D6F6D6F6D6F6D6F5D6F6D5F6D6F5D6F5D6F5D6F5D6F5D6F6D6F6D4F6D6F6D4F6D6F6D4F6D6F6D4F6D6F6D4F6D6F6D4F6D6F6D5F6D6D6F6D6F5D6F6D6F5D6F5

NextTime - это еще одно соединение с C & C сервером.

conf - это строки конфигурации.

Строки конфигурации могут содержать инструкции по подключению к новым C & C-серверам, таблицы номеров с префиксами и ключи с адресами назначения для текстовых сообщений и новые задачи с параметрами. Кроме того, ключи для шифрования трафика (key_cip) могут быть отправлены на конф .

Злоумышленники также могут использовать текстовые сообщения для управления трояном. Строки конфигурации также могут содержать ключевые строки (key_con, key_url, key_die), которые троян будет искать во входящих текстовых сообщениях.

Каждое входящее текстовое сообщение анализируется на наличие любого из этих ключей. Если ключ найден, выполняется соответствующее действие:

key_con : немедленно устанавливает соединение C & C;

key_die : удаляет задачи из базы данных;

key_url: подключается к новому серверу C & C. После этой инструкции должен быть указан адрес нового C & C-сервера. Таким образом, киберпреступники могут создать новый сервер C & C и отправить его адрес зараженному устройству в текстовых сообщениях, содержащих этот ключ. Это приведет к повторному подключению всех зараженных устройств к новому серверу.

Если в conf обнаружен ключ «отправить текстовое сообщение», троянец отправит сообщение на номера, предоставленные C & C-сервером. Таким образом, зараженным устройствам даже не потребуется подключение к Интернету для получения инструкций о том, как отправлять платные текстовые сообщения.

Таким образом, зараженным устройствам даже не потребуется подключение к Интернету для получения инструкций о том, как отправлять платные текстовые сообщения

Инструкции C & C

Троянец получает инструкции от C & C-сервера и сохраняет их в базе данных. Каждая инструкция, зарегистрированная в базе данных, содержит свой порядковый номер, время выполнения и параметры.

Список команд:

  1. Отправить текстовое сообщение. Параметры содержат число и текст. Ответы удалены.
  2. PING.
  3. Получите баланс своего счета через USSD.
  4. Выступать в роли доверенного лица (отправлять конкретные данные на конкретные адреса и пересылать ответ).
  5. Подключение к определенным адресам (кликер).
  6. Загрузите файл с сервера и установите его.
  7. Отправьте список приложений, установленных на вашем смартфоне, на сервер.
  8. Отправьте информацию об установленном приложении, указанном сервером C & C.
  9. Отправить контактные данные пользователя на сервер.
  10. Дистанционное покрытие. Следуйте инструкциям консоли, указанным злоумышленником.
  11. Отправьте файл на все обнаруженные устройства с Bluetooth.

Этот список команд для Obad.a позволяет вредоносной программе распространять файлы через Bluetooth. Сервер C & C отправляет троянцу локальный адрес файла для загрузки на зараженное устройство. По команде сервера C & C вредоносная программа сканирует ближайшие устройства с включенным соединением Bluetooth и пытается отправить на них загруженные файлы.

Несмотря на впечатляющие возможности Backdoor.AndroidOS.Obad.a не очень широко распространен. В течение 3-дневного периода наблюдения на основе данных Kaspersky Security Network было обнаружено, что на попытки установить троян Obad.a приходилось не более 0,15% всех попыток заражения мобильных устройств различным вредоносным программным обеспечением.

Наконец, мы хотели бы добавить, что Backdoor.AndroidOS.Obad.a больше похож на вредоносное ПО Windows, чем другие трояны для Android, с точки зрения сложности и количества неопубликованных пробелов, которые он использует. Это означает, что сложность вредоносных программ, созданных для Android, растет быстрыми темпами, равно как и их количество.

Похожие

Антивирус для планшетов (Android, iPad)
... c=/wp-content/uploads/2019/12/ru-antivirus-dla-plansetov-android-ipad-1.png> На Android стой! Бесплатная мобильная безопасность AVG Mobilization Sophos Mobile Security Kaspersky Tablet Security McAfee
Новости и погода Google - приложение для Android - Загрузить - ЧИП
Получите персонализированные новости и прогнозы погоды с помощью бесплатного приложения Google News & Weather Android. Google News & Weather - приложение для
Как повесить приложение Android на кого-то одним простым шагом
... сенняя погода вряд ли сделает это, многим из нас иногда хочется просто быть злыми. О, переведите чей-то телефон, чтобы ему пришлось поискать его на мгновение или каким-то другим образом пошутить. Некоторые, однако, делают еще один шаг, и их глаза приобретают размер в пять злотых, когда они видят способ перерезать чей-то телефон, отправляя соответствующее сообщение. В общем, эта ошибка относится к смартфонам с логотипом укушенного яблока, однако пришло время мстить зеленым! Я убежден,
Два десятилетия без происшествий, самый продолжительный сервер в мире
Готовясь написать текст о самых долго работающих серверах (или компьютерах), я вошел в свой Raspberry Pi, который выполняет несколько функций в моем доме, и ввел команду uptime. 21:19:33 до 33 дней, 3:14, 1 пользователь, средняя нагрузка: 0,00, 0,01, 0,05 Немного - месяц без перезагрузки. Последний перезапуск, вероятно, был вызван намеренным отключением электричества в моей квартире. Мой домашний сервер далек от записей в этом поле. Один из долго
ET2018: S & B 1-8x24 PM II - MILMAG - Военный журнал
Шмидт и Бендер показали на Enforce Tac датирование 1-8x24 PM II Shortdot Dual CC. Оптика была создана для снайперов. Представленные люнетки с характерным землистым цветом (RAL8000) были изготовлены для бундесвера. Они должны быть размещены на снайперских винтовках H & K G28 Patrol.
stalprofil - Tag - Ассоциация индивидуальных инвесторов - SII
... cookie, вам следует заблокировать их сохранение на вашем устройстве, изменив настройки браузера или покинув эту страницу. Для получения дополнительной информации о cookie-файлах и обработке персональных данных, прочитайте наш политика конфиденциальности и правила относительно куки , близко Что такое SII? Сообщения, связанные с тегом stalprofil
Способы установки агента Android +
... инструкции, которые он получает от серверов. Агенты устройств также предоставляют отчеты и информацию в режиме реального времени на серверы развертывания. Установка агента устройства Android из Samsung Apps (только для устройств Samsung) Загрузите агент устройства MobiControl. После установки агента устройства введите идентификатор регистрации, указанный при создании правила добавления устройств.
Как создать общие списки покупок с семьей или друзьями (Android и iOS)
... то ходите в магазин и забываете что-то купить, даже если у вас есть список покупок? Мы не всегда забываем вводить все. Однако вы можете создавать общие списки покупок со своей семьей или друзьями - все, что вам нужно, - это одно приложение.
Как сделать видео петлю на планшетах и ​​телефонах Android
Наши видео могут быть переданы на мобильные телефоны и планшеты под управлением Android, а затем использованы в качестве (ручной) заставки. Для этого подключите USB-кабель к компьютеру и перенесите видеофайл MP4 на телефон или планшет. Вам может понадобиться скачать Передача файлов Android для этого, если вы находитесь на Mac. Вы также можете передавать файлы по беспроводной связи или через Bluetooth, но гораздо быстрее будет просто подключить
Сохранить WhatsApp аудио, музыку, голосовые сообщения и записи на Android
... общение или звуковую запись, которую вы хотите сохранить или скачать, нажмите и удерживайте ее в течение секунды, после чего параметры файла отобразятся в верхней части экрана, см. Ниже. снимок экрана WhatsApp на телефоне Samsung Galaxy. Прикоснитесь к кнопке « Поделиться» в верхнем правом углу, после чего на экране мобильного телефона
Часто задаваемые вопросы по Opera для Android
... c="/wp-content/uploads/2019/12/ru-casto-zadavaemye-voprosy-po-opera-dla-android-1.jpg" alt="Расположение функций и настроек Opera немного различается в зависимости от выбранного типа раскладки: телефона или планшета"> Кнопка меню Opera в нижней части экрана в макете телефона или Кнопка в верхней части экрана в макете планшета. Чтобы изменить макет Opera, откройте меню Opera и выберите

Комментарии

На данный момент я начал задумываться, как это возможно, что у крупнейшего производителя смартфонов Android могут возникнуть такие проблемы с поддержкой их устройств?
На данный момент я начал задумываться, как это возможно, что у крупнейшего производителя смартфонов Android могут возникнуть такие проблемы с поддержкой их устройств? Как так получается, что крупнейший производитель смартфонов в мире не может эффективно обновлять свои устройства? Имеем ли мы здесь дело с халатностью, есть ли здесь серьезные препятствия?
Самый последний победитель?
Самый последний победитель? Хрустящий Тако. Но второй и третий занявшие второе место Жареные зеленые помидоры и все бублик со сливочным сыром также доступны. Краудсорсинг новых идей вкуса вовлекает потребителей в бренд - представлены миллионы идей - и приносят доход. В первый год конкурса победитель - Cheesy Garlic Bread - увеличил продажи Lay более чем на 8% через квартал после запуска. Куда пойти перекусить дальше? Американцы перекусили для энергии, для
Кто увидит треугольник, самый орбитальный круг первым в ландшафте?
Кто увидит треугольник, самый орбитальный круг первым в ландшафте? ИНТЕЛЛЕКТ ПРИРОДНОГО ИССЛЕДОВАНИЯ Классическая проблема выглядит так: мы хотим идти сейчас, а ребенок садится на корточки у ручья и смотрит на текущую воду
Может ли Windows Phone защищаться от недочетов в Android?
Может ли Windows Phone защищаться от недочетов в Android? Дешевле и новее Lumia 540 был оценен в 550 злотых, в то время как Lumia 640 стоит 600 злотых. Стоит отметить, что мы тестируем модели с двумя слотами для SIM-карт, поэтому
Поддерживает ли Opera для Android Flash?
Поддерживает ли Opera для Android Flash? Нет. Adobe больше не поддерживает Adobe Flash Player на устройствах Android. Большинство видео-сайтов теперь предлагают контент в виде HTML5-видео. Где кнопка выхода? При желании вы можете выйти из браузера из меню Opera и нажать кнопку питания. Обратите внимание, что нет необходимости явно выходить из приложений на Android, чтобы освободить память. Платформа автоматически управляет запущенными приложениями всякий
Я вижу, что компании по разработке программного обеспечения для безопасности предлагают программное обеспечение для Android и есть ли приложение для защиты от вредоносных программ для iPhone?
Я вижу, что компании по разработке программного обеспечения для безопасности предлагают программное обеспечение для Android и есть ли приложение для защиты от вредоносных программ для iPhone?» - сообщество Apple Несмотря на это, Apple заявила, что разработала платформу iOS с защитой по своей сути, и вам не нужно антивирусное программное обеспечение для вашего устройства iOS. Многие пользователи по-прежнему хотят, чтобы антивирусное приложение для iPhone добавило дополнительный уровень
Перезагрузить таблицы привилегий сейчас?
Перезагрузить таблицы привилегий сейчас? [Да / Нет] ... Удачи! Уборка ... Все готово! Если вы выполнили все вышеперечисленные шаги, ваша установка MariaDB теперь должна быть безопасной. Спасибо за использование MariaDB! Проверьте, работает ли mariadb, с помощью следующей команды: sudo service mysql status Пример вывода: ● mysql.service - LSB: запуск и остановка демона сервера баз данных mysql. Загружен: загружен (/etc/init.d/mysql)

Для получения дополнительной информации о cookie-файлах и обработке персональных данных, прочитайте наш политика конфиденциальности и правила относительно куки , близко Что такое SII?
?то ходите в магазин и забываете что-то купить, даже если у вас есть список покупок?
На данный момент я начал задумываться, как это возможно, что у крупнейшего производителя смартфонов Android могут возникнуть такие проблемы с поддержкой их устройств?
Как так получается, что крупнейший производитель смартфонов в мире не может эффективно обновлять свои устройства?
Имеем ли мы здесь дело с халатностью, есть ли здесь серьезные препятствия?
Самый последний победитель?
Самый последний победитель?
Куда пойти перекусить дальше?
Кто увидит треугольник, самый орбитальный круг первым в ландшафте?
Может ли Windows Phone защищаться от недочетов в Android?