Eksperci z Kaspersky Lab odkryli nową złośliwą aplikację atakującą urządzenia wyposażone w system Android.
Nie jest jeszcze do końca jasne w jaki sposób szkodnik się rozprzestrzenia ale pewnym jest, że po infekcji widoczna jest na liście aplikacji gra MADDEN NFL 12:

Plik waży powyżej 5MB i jest to trojan wrzucający do systemu bota IRC, SMS Trojan oraz root exploit.
Tworzy on również katalog ‘/data/data/com.android.bot/files‘ z prawami dostępu ustawionymi na ’777′ (odczyt/zapis/wykonanie dla wszystkich użytkowników) a następnie w utworzonym katalogu umieszcza 3 pliki:

- header01.png (root exploit)
- footer01.png (bot IRC)
- border01.png (trojan SMS)

Następnie nadawane są prawa ’777′ dla pliku header01.png (root exploit) i wywoływane jest wykonanie pliku, po którym pojawia się komunikat: „(0×14) Error – Not registred application”
Jeżeli operacja wywołania exploita powiodła się i urządzenia zostało zrootowane, wówczas szkodanik wykonuje plik footer01.png (bot IRC), który w pierwszej kolejności będzie próbował usunąć katalog ‘etc/sent‘.
Kolejnym krokiem jest ustanowienie właściciela root dla pliku border01.png (trojan SMS) za pomocą komendy ‘chown’, nadanie praw ’644′ dla tego pliku oraz jego instalacja i uruchomienie.
Instalowany w ten sposób trojan jest niewielką modyfikacją znanego już wcześniej szkodnika: ‘Foncy SMS Trojan‘. Podobnie jak poprzednia wersja, tak również i ta używa metody ‘getSimCountryIso‘ w celu zidentyfikowania kraju pochodzenia karty SIM i umożliwienia w ten sposób wysyłania SMS Premium.
Trojan ma również możliwość blokowania wiadomości przychodzących z usług Premium, dzięki czemu ofiara nie jest w stanie rozpoznać aktywności malware w systemie (do czasu otrzymania rachunku).
Największą ciekawostką jest jednak bot IRC – pierwszy jak do tej pory tego typu szkodnik atakujący system Android.
Po instalacji trojana, bot łączy się z serwerem IRC 199.68.*.* (był on niedostępny w trakcie analizy malware) na kanale ‘#andros‘ z losowo wygenerowaną nazwą użytkownika. Po połączeniu z serwerem bot jest w stanie odbierać komendy i wykonywać je na zainfekowanym urządzeniu.
Dzięki kilku modułom wchodzącym a skład tego malware, przestępcy mogą uzyskać niemal nieograniczoną kontrolę nad zainfekowanym systemem.

Złośliwa aplikacja została sklasyfikowana i jest rozpoznawana przez produkty Kaspersky Lab jako:

- Trojan-Dropper.AndroidOS.Foncy.a
- Exploit.Linux.Lotoor.ac
- Backdoor.Linux.Foncy.a
- Trojan-SMS.AndroidOS.Foncy.a

Źródło: Kaspersky Lab