Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Bot IRC dla Androida

Denis Nazarow
Kaspersky Lab Expert
Dodany 17 stycznia 2012, 11:24 CET

Niedawno zidentyfikowaliśmy bardzo interesującego szkodnika dla Androida. Warto o nim wspomnieć, mimo że nadal nie wiadomo, w jaki sposób rozprzestrzenia się. Po zainstalowaniu się na urządzeniu szkodliwa aplikacja „udaje” grę pod nazwą ‘MADDEN NFL 12’.

208193333.png

Rozmiar pliku wynosi ponad 5 MB i w rzeczywistości jest to trojan instalujący w systemie zestaw komponentów szkodliwego oprogramowania: exploita roota, trojana SMS oraz bota IRC. Funkcjonalność droppera zawiera plik .class o nazwie "AndroidBotAcitivity". Tworzy on katalog ‘/data/data/com.android.bot/files’ i nadaje mu uprawnienia “777” (odczyt/zapis/uruchamianie dla wszystkich użytkowników). Następnie wypakowuje do tego katalogu trzy pliki - ‘header01.png’ (exploit root), ‘footer01.png’ (bot IRC), ‘border01.png’ (trojan SMS). Później nadaje uprawnienia 777 plikowi exploita roota i wykonuje go. Na koniec wyświetla na ekranie tekst ‘(0x14) Error - Not registred application’.

Jeżeli exploit zostanie pomyślnie wykonany, a urządzenie zrootowane, uruchomi bota IRC ‘footer01.png’.

Najpierw bot IRC próbuje usunąć ‘etc/sent’ przy pomocy polecenia ‘rm’:

208193334.png

Następnie ustanawia uprawnienia root dla użytkownika lub grupy użytkowników dotyczące pliku ‘border01.png’ przy użyciu polecenia ‘chown’ oraz nadaje uprawnienia ‘644’ dla pliku ‘border01.png’:

208193335.png

W dalszej kolejności bot IRC instaluje ‘border01.png’ (trojan SMS) przy użyciu ‘pm install’ i uruchamia go przy pomocy ‘am start’:

208193336.png

Omawiany trojan SMS jest modyfikacją trojana SMS Foncy (nie tak dawno temu pisaliśmy o tej rodzinie). Trojan ten nie został znacznie zmodyfikowany. W celu ustalenia kraju, z której pochodzi karta SIM, wykorzystuje metodę getSimCountryIso jak również wcześniejsze wersje. Poniżej lista państw z odpowiednimi numerami o podwyższonej opłacie:

  • Francja (81083)
  • Belgia (3075)
  • Szwajcaria (543)
  • Luksemburg (64747)
  • Kanada (60999)
  • Niemcy (63000)
  • Hiszpania (35024)
  • Wielka Brytania (60999)
  • Maroko (2052)
  • Sierra Leone (7604)
  • Rumunia (1339)
  • Norwegia (2227)
  • Szwecja (72225)
  • Stany Zjednoczone (23333)

Podobnie jak w poprzedniej wersji, Foncy próbuje blokować wszystkie wiadomości przychodzące z wymienionych wyżej numerów o podwyższonej opłacie przy użyciu metody abortBroadcast. Jednak między opisywaną a poprzednimi wersjami Foncy istnieje jedna mała różnica. Nowsza modyfikacja przesyła wszystkie wiadomości przychodzące z numeru o podwyższonej opłacie na zdalny serwer zamiast wysyłać wiadomość SMS na numer telefonu komórkowego w następującym formacie:

http://46.166.*.*/?={ numer}///{ treść_wiadomości}

Po uruchomieniu trojana SMS bot IRC próbuje połączyć się z serwerem IRC 199.68.*.* (w momencie prowadzenia badania serwer ten był niedostępny) na kanale ‘#andros’ z losową nazwą. W efekcie, szkodnik może otrzymywać dowolne polecenia powłoki z tego serwera i wykonać je na zainfekowanym urządzeniu.

Jak dotąd jest to pierwszy znany nam bot IRC dla Androida. Bardziej interesujące jest to, że znajduje się w zestawie z exploitem roota oraz trojanem SMS. Elementy te sprawnie współpracują ze sobą, a cyberprzestępca posiada pełny dostęp do zainfekowanego smartfonu i może zrobić wszystko, co chce.

PS Wszystkie szkodliwe pliki wykrywamy jako Trojan-Dropper.AndroidOS.Foncy.a, Exploit.Linux.Lotoor.ac, Backdoor.Linux.Foncy.a and Trojan-SMS.AndroidOS.Foncy.a.