Самый продвинутый троян для Android

1. Трюки трояна
2. Анализ кода
3. Получение привилегий
4. Общение с владельцами
5. Инструкции C & C

Недавно мы получили приложение для Android для анализа. На первый взгляд мы знали, что это было исключительное в своем роде. Все строки в DEX-файле были зашифрованы, а код - скрыт.

Этот файл оказался многофункциональным трояном, который может: отправлять SMS-сообщения на премиальные номера; загружать другие вредоносные программы, устанавливать их на зараженное устройство и / или отправлять через Bluetooth; удаленно выполнять команды на консоли. В настоящее время продукты «Лаборатории Касперского» определяют эту вредоносную программу как Backdoor.AndroidOS.Obad.a.

Авторы вредоносных программ обычно пытаются максимизировать код в своих творениях, чтобы усложнить жизнь специалистам по вредоносным программам. Однако, редко, маскировка в мобильных вредоносных программах так же продвинута, как Obad.a. Более того, полное затемнение кода было не единственной подозрительной вещью в этом новом трояне.

Трюки трояна

Создатели Backdoor.AndroidOS.Obad.a обнаружили ошибку в популярном программном обеспечении DEX2JAR - эта программа обычно используется аналитиками для преобразования APK-файлов в более удобный формат Java-архива (JAR). Эта уязвимость, воспринимаемая киберпреступниками, искажает преобразование байт-кода Dalvik в байт-код Java, что в конечном итоге усложняет статистический анализ этого трояна.

Киберпреступники обнаружили ошибку в операционной системе Android, которая относится к обработке файла AndroidManifest.xml. Этот файл находится в каждом приложении Android и используется для описания структуры приложения, определения параметров его запуска и т. Д. Вредоносное программное обеспечение модифицирует AndroidManifest.xml таким образом, что оно не соответствует стандартам Google, но все еще должным образом обрабатывается на смартфоне благодаря идентифицированному разрыв. Все это очень затрудняло проведение динамического анализа этого трояна.

Создатели Backdoor.AndroidOS.Obad.a также использовали еще одну, ранее неизвестную ошибку в операционной системе Android. Использование этой уязвимости позволяет вредоносным приложениям получать расширенные привилегии администратора устройства, не появляясь в списке приложений с такими привилегиями. В результате невозможно удалить вредоносную программу со смартфона после получения расширенных привилегий.

Наконец, стоит добавить, что Backdoor.AndroidOS.Obad.a не имеет интерфейса и работает в фоновом режиме.

Анализ кода

В этом вредоносном приложении все внешние методы вызываются через механизм отражения. Все строки зашифрованы, включая имена классов и методы.

Каждый класс имеет метод локального дескриптора, который получает необходимую строку из локально обновленного байтового массива. Все строки «скрыты» в этой таблице.

Наиболее важные строки, содержащие адрес сервера C & C, проходят дополнительный этап шифрования. Для этого троянец сначала проверяет, есть ли доступ к Интернету, а затем загружает веб-сайт facebook.com. Он извлекает определенный элемент этой страницы и использует его в качестве ключа расшифровки. Таким образом, Backdoor.AndroidOS.Obad.a может расшифровывать адреса C & C только при наличии доступа к Интернету. Эта особенность еще больше усложняет анализ этого вредителя.

Некоторые строки дополнительно зашифрованы. Локальная ловкость получает закодированную строку в Base64 и декодирует ее. Декодированная строка сначала дешифруется с использованием операции XOR с использованием ключа MD5, а затем дополнительно расшифровывается с использованием строки MD5 «UnsupportedEncodingException». Чтобы получить ключ MD5, тот же локальный расшифровщик расшифровывает следующую строку, которая затем используется в качестве аргумента для MD5. Таким образом, ключевые строки защищены, например, имя функции SendTextMessage.

Мы начали наш анализ и сумели расшифровать все строки:

Имея в руках результаты процесса расшифровки, нам удалось воссоздать алгоритм работы приложения.

Получение привилегий

Сразу после запуска приложение пытается получить права администратора устройства.

Как мы писали ранее, одной из особенностей этого трояна является то, что вредоносное приложение не может быть удалено после того, как у него есть права администратора: используя ранее неизвестную уязвимость в Android, вредоносное приложение может использовать расширенные права, но не отображается как приложение с права администратора устройства.

Мы уже сообщили Google об уязвимости безопасности Android, которая позволяет вам получить права администратора устройства.

Благодаря расширенным правам администратора устройства, троянец может заблокировать монитор устройства на срок до 10 секунд. Обычно это происходит после подключения устройства к бесплатной сети Wi-Fi или активации Bluetooth; при установленном соединении троянец может копировать себя и другие вредоносные программы на другие устройства, расположенные рядом с устройством. Возможно, что Backdoor.AndroidOS.Obad.a пытается помешать пользователю обнаружить вредоносную активность.

Кроме того, троянец пытается получить права администратора, выполнив команду «su id».

Общение с владельцами

Информация о том, были ли получены права суперпользователя, отправляется на сервер C & C. Получение прав администратора может поставить киберпреступников в выгодное положение при удаленном выполнении консольных команд.

После первого запуска вредоносное приложение собирает следующую информацию и отправляет ее на сервер C & C по адресу androfox.com:

• MAC-адрес устройства с Bluetooth
• Наименование оператора
• Номер телефона
• IMEI
• Баланс по счету телефона пользователя
• Получены ли права администратора устройства
• Местное время

Собранная информация отправляется на сервер в виде зашифрованного объекта JSON.

Эта информация отправляется на текущий сервер C & C каждый раз, когда устанавливается соединение. Кроме того, вредоносная программа сообщает о своем текущем состоянии своему владельцу: отправляет текущую таблицу премиальных номеров и префиксов, на которые следует отправлять текстовые сообщения (параметр «aos»), список задач («задача») и список серверов C & C. Во время первого сеанса связи с C & C он отправляет пустую таблицу и список адресов C & C, которые были расшифрованы, как описано выше. Во время сеанса связи троянец может получить обновленную таблицу номеров премиум-класса и новый список адресов C & C.

В ответ сервер C & C отправляет еще один объект JSON, который после расшифровки может выглядеть следующим образом:

{"nextTime": 1, "conf": {"key_con": "oKzDAglGINy", "key_url": "3ylOp9UQwk", "key_die": "ar8aW9YTX45TBeY", "key_cip": "lRo6JfLq9CRSKyGyg6) 66F6D6F6D6F6D6F6D6F6D6F5D6F6D5F6D6F5D6F5D6F5D6F5D6F5D6F6D6F6D4F6D6F6D4F6D6F6D4F6D6F6D4F6D6F6D4F6D6F6D4F6D6F6D5F6D6D6F6D6F5D6F6D6F5D6F5

NextTime - это еще одно соединение с C & C сервером.

conf - это строки конфигурации.

Строки конфигурации могут содержать инструкции по подключению к новым C & C-серверам, таблицы номеров с префиксами и ключи с адресами назначения для текстовых сообщений и новые задачи с параметрами. Кроме того, ключи для шифрования трафика (key_cip) могут быть отправлены на конф .

Злоумышленники также могут использовать текстовые сообщения для управления трояном. Строки конфигурации также могут содержать ключевые строки (key_con, key_url, key_die), которые троян будет искать во входящих текстовых сообщениях.

Каждое входящее текстовое сообщение анализируется на наличие любого из этих ключей. Если ключ найден, выполняется соответствующее действие:

key_con : немедленно устанавливает соединение C & C;

key_die : удаляет задачи из базы данных;

key_url: подключается к новому серверу C & C. После этой инструкции должен быть указан адрес нового C & C-сервера. Таким образом, киберпреступники могут создать новый сервер C & C и отправить его адрес зараженному устройству в текстовых сообщениях, содержащих этот ключ. Это приведет к повторному подключению всех зараженных устройств к новому серверу.

Если в conf обнаружен ключ «отправить текстовое сообщение», троянец отправит сообщение на номера, предоставленные C & C-сервером. Таким образом, зараженным устройствам даже не потребуется подключение к Интернету для получения инструкций о том, как отправлять платные текстовые сообщения.

Инструкции C & C

Троянец получает инструкции от C & C-сервера и сохраняет их в базе данных. Каждая инструкция, зарегистрированная в базе данных, содержит свой порядковый номер, время выполнения и параметры.

Список команд:

1. Отправить текстовое сообщение. Параметры содержат число и текст. Ответы удалены.
2. PING.
3. Получите баланс своего счета через USSD.
4. Выступать в роли доверенного лица (отправлять конкретные данные на конкретные адреса и пересылать ответ).
5. Подключение к определенным адресам (кликер).
6. Загрузите файл с сервера и установите его.
7. Отправьте список приложений, установленных на вашем смартфоне, на сервер.
8. Отправьте информацию об установленном приложении, указанном сервером C & C.
9. Отправить контактные данные пользователя на сервер.
10. Дистанционное покрытие. Следуйте инструкциям консоли, указанным злоумышленником.
11. Отправьте файл на все обнаруженные устройства с Bluetooth.

Этот список команд для Obad.a позволяет вредоносной программе распространять файлы через Bluetooth. Сервер C & C отправляет троянцу локальный адрес файла для загрузки на зараженное устройство. По команде сервера C & C вредоносная программа сканирует ближайшие устройства с включенным соединением Bluetooth и пытается отправить на них загруженные файлы.

Несмотря на впечатляющие возможности Backdoor.AndroidOS.Obad.a не очень широко распространен. В течение 3-дневного периода наблюдения на основе данных Kaspersky Security Network было обнаружено, что на попытки установить троян Obad.a приходилось не более 0,15% всех попыток заражения мобильных устройств различным вредоносным программным обеспечением.

Наконец, мы хотели бы добавить, что Backdoor.AndroidOS.Obad.a больше похож на вредоносное ПО Windows, чем другие трояны для Android, с точки зрения сложности и количества неопубликованных пробелов, которые он использует. Это означает, что сложность вредоносных программ, созданных для Android, растет быстрыми темпами, равно как и их количество.

Похожие

Комментарии