37

Najbardziej wyrafinowany trojan na Androida złożonością przypomina złośliwe oprogramowanie z Windows

Roman Unuchek z Kaspersky Lab opublikował na swoim blogu informację o nowo odkrytym trojanie infekującym mobilny system operacyjny Android. Wszelkiego rodzaju szkodliwego oprogramowania atakującego urządzenia mobilne nie brakuje, ale tym razem mówimy o trojanie bardziej złożonym, wykorzystującym nieodkryte wcześniej luki w systemie spod znaku zielonego robota. To może być najbardziej zaawansowany trojan tego typu, jaki […]

Roman Unuchek z Kaspersky Lab opublikował na swoim blogu informację o nowo odkrytym trojanie infekującym mobilny system operacyjny Android. Wszelkiego rodzaju szkodliwego oprogramowania atakującego urządzenia mobilne nie brakuje, ale tym razem mówimy o trojanie bardziej złożonym, wykorzystującym nieodkryte wcześniej luki w systemie spod znaku zielonego robota. To może być najbardziej zaawansowany trojan tego typu, jaki został odkryty.

Nowo odkryty trojan został nazwany Backdoor.AndroidOS.Obad.a. Co czyni go wyjątkowym na tle innego szkodliwego oprogramowania? Zestaw cech i funkcji w jaki został wyposażony. Przede wszystkim aplikacja po uzyskaniu rozszerzonych uprawnień administracyjnych wykorzystuje nieznany wcześniej błąd w systemie Android, dzięki czemu nie pojawia się na liście zainstalowanych aplikacji z takimi właśnie uprawnieniami. Wówczas użytkownik nie jest w stanie samodzielnie sprawdzić czy ma zainstalowanego trojana, ani tym bardziej nie może go usunąć. Na tym nie koniec. Twórcy trojana znaleźli błąd w programie DEX2JAR, konwertującym APK na wygodniejsze w analizie archiwum Java, co znacząco utrudnia analizę złośliwego oprogramowania. Wreszcie wykorzystany jest jeszcze jeden błąd Androida, który doprowadza do zaakceptowania pliku AndroidManifest.xml, mimo iż jest on niezgodny ze standardami Google. Plik ten znajduje się w każdej aplikacji działającej na mobilnym systemie operacyjnym Google i zawiera informacje na temat struktury aplikacji, parametrów wykonywanych podczas jej uruchomienia itp.

Dla zwykłych użytkowników będzie jednak ciekawsze co trojan może zrobić, gdy już zagości w naszym telefonie. Otóż może całkiem sporo, wśród 11 odkrytych instrukcji znalazło się: pobranie i zainstalowanie wskazanego pliku, czyli najprawdopodobniej innego szkodliwego oprogramowania; przesłanie na serwer listy zainstalowanych aplikacji oraz książki adresowej użytkownika; wysłanie wiadomości na wskazany numer o dowolnej treści, w tym na płatne numery premium, co istotne, ewentualne odpowiedzi są automatycznie kasowane; możliwość sprawdzenia stanu konta użytkownika dzięki wykonaniu kodu USSD, zdalne wykonywanie poleceń, czy wreszcie rozsyłanie pliku do wszystkich wykrytych urządzeń Bluetooth. To z resztą jedna z prawdopodobnych dróg infekcji innych telefonów i urządzeń.

android_trojan

Warto również dodać, że Obad.a potrafi się komunikować ze swoimi twórcami na wiele sposobów, wysłać informacje czy uzyskał uprawnienia administratora, podać numer telefonu użytkownika, czas lokalny np. żeby zdalne operacje wykonywać na zainfekowanym telefonie gdy jego użytkownik śpi, czy informacje na temat adresów MAC podłączonych urządzeń Bluetooth. Co bardzo istotne, trojan może odbierać również polecenia za pomocą SMS, co oznacza, że jeżeli serwery wysyłające instrukcje i pobierające dane zostaną zidentyfikowane i zamknięte np. przez służby bezpieczeństwa, twórcy mogą za pomocą SMS wysłać adresy nowych serwerów i odzyskać kontrolę nad telefonami, które wciąż mają zainstalowanego trojana.

Czy to znaczy, że już czas wpadać w panikę i na wszelki wypadek resetować swój telefon do ustawień fabrycznych? Całe szczęście nie. Intel partnerem technologicznym Antyweb Na razie nie odkryto żadnych przesłanek, że szkodliwe oprogramowanie znajduje się w sklepie Play, a to oznacza, że użytkownik sam musi zainstalować szkodliwe oprogramowanie, ewentualnie jego telefon musi być już zainfekowany innym trojanem, który otworzyłoby drogę infekcji. Podobnie jest z infekowaniem za pomocą Bluetooth, które wymaga sparowania przy pomocy przepisania wyświetlonego na ekranie kodu, czyli zarażanie telefonów wokół, przez samo przechadzanie się pomiędzy nimi jest całe szczęście niemożliwe.

Podsumowując, Obad.a jest bardzo zaawansowanym trojanem, który pod wieloma względami przypomina złośliwe oprogramowanie na duże systemy operacyjne, wykorzystuje kilka nieznanych wcześniej luk w Androidzie, ale całe szczęście nie rozprzestrzenia się zbyt łatwo i wymaga pewnej ingerencji użytkownika. Z tego punktu widzenia Android się broni, a zaimplementowane zabezpieczenia działają – wymagane jest zaakceptowanie listy uprawnień oraz odblokowanie instalacji z zewnętrznych źródeł. Mimo wszystko przykład Obad.a pokazuje, że złośliwe oprogramowanie na urządzenia mobilne staje się coraz bardziej zaawansowane i należy je traktować bardzo poważnie. To, że dziś pierwsza linia obrony nie została pokonana, nie znaczy, że jutro nie zostanie przełamana. Wszystkie popularne systemy operacyjne borykają się z takimi problemami.

Po raz pierwszy na informację na temat trojana natrafiłem w serwisie Ars Technica, zainteresowanych szczegółami zapraszam na blog Romana Unucheka.

Obraz z nagłówka pochodzi z Techo TV.