IRC Bot atakuje użytkowników Androida - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Ochrona mobilna (https://safegroup.pl/forum-23.html) +--- Wątek: IRC Bot atakuje użytkowników Androida (/thread-4057.html) |
IRC Bot atakuje użytkowników Androida - ktośtam - 14.01.2012 Eksperci z Kaspersky Lab odkryli nową złośliwą aplikację atakującą użytkowników Androida. Nie jest jeszcze do końca jasne w jaki sposób szkodnik się rozprzestrzenia ale pewnym jest, że po infekcji widoczna jest na liście aplikacji gra MADDEN NFL 12 : [Aby zobaczyć linki, zarejestruj się tutaj] Plik waży powyżej 5MB i jest to trojan wrzucający do systemu bota IRC, SMS Trojan oraz root exploit. Tworzy on również katalog '' /data/data/com.android.bot/files '' z prawami dostępu ustawionymi na ''777'' (odczyt/zapis/wykonanie dla wszystkich użytkowników) a następnie w utworzonym katalogu umieszcza 3 pliki: - header01.png (root exploit) - footer01.png (bot IRC) - border01.png (trojan SMS) Następnie nadawane są prawa ''777'' dla pliku header01.png(root exploit) i wywoływane jest wykonanie pliku, po którym pojawia się komunikat: " (0x14) Error - Not registred application " Jeżeli operacja wywołania exploita powiodła się i urządzenia zostało zrootowane, wówczas szkodanik wykonuje plik footer01.png(bot IRC), który w pierwszej kolejności będzie próbował usunąć katalog '' etc/sent ''. Kolejnym krokiem jest ustanowienie właściciela root dla pliku border01.png(trojan SMS) za pomocą komendy ''chown'', nadanie praw ''644'' dla tego pliku oraz jego instalacja i uruchomienie. Instalowany w ten sposób trojan jest niewielką modyfikacją znanego już wcześniej szkodnika: '' Foncy SMS Trojan ''. Podobnie jak poprzednia wersja, tak również i ta używa metody '' getSimCountryIso '' w celu zidentyfikowania kraju pochodzenia karty SIM i umożliwienia w ten sposób wysyłania SMS Premium. Trojan ma również możliwość blokowania wiadomości przychodzących z usług Premium, dzięki czemu ofiara nie jest w stanie rozpoznać aktywności malware w systemie (do czasu otrzymania rachunku). Największą ciekawostką jest jednak bot IRC - pierwszy jak do tej pory tego typu szkodnik atakujący system Android. Po instalacji trojana, bot łączy się z serwerem IRC 199.68.*.* (był on niedostępny w trakcie analizy malware) na kanale '' #andros '' z losowo wygenerowaną nazwą użytkownika. Po połączeniu z serwerem bot jest w stanie odbierać komendy i wykonywać je na zainfekowanym urządzeniu. Dzięki kilku modułom wchodzącym a skład tego malware, przestępcy mogą uzyskać niemal nieograniczoną kontrolę nad zainfekowanym systemem. Złośliwa aplikacja została sklasyfikowana i jest rozpoznawana przez produkty Kaspersky Lab jako: - Trojan-Dropper.AndroidOS.Foncy.a - Exploit.Linux.Lotoor.ac - Backdoor.Linux.Foncy.a - Trojan-SMS.AndroidOS.Foncy.a Źródło: Kaspersky Lab Re: IRC Bot atakuje użytkowników Androida - Kolos28 - 14.01.2012 hehe ja mam tą Ikonkę w swoim androidzie "MADDEN NFL 12" ale raczej to nie trojan bo grę od EA zakupiłem w AM więc chyba raczej ma prawo tam być Re: IRC Bot atakuje użytkowników Androida - ktośtam - 14.01.2012 Dopóki nie posiadasz w systemie katalogu /data/data/com.android.bot/filesa w nim plików, które wymieniłem w info, to jesteś bezpieczny Re: IRC Bot atakuje użytkowników Androida - Kolos28 - 14.01.2012 ktostam napisał(a):Dopóki nie posiadasz w systemie katalogu /data/data/com.android.bot/filesa w nim plików, które wymieniłem w info, to jesteś bezpieczny jeszcze nie sprawdzałem ale raczej wątpię bym miał taki katalog bo grę kupiłem od firmy EA w AM sprawdzone - nie mam takiego katalogu.. Re: IRC Bot atakuje użytkowników Androida - polak900 - 14.01.2012 android zaczyna być prawie jak winda, badziewia jest coraz więcej na niego Re: IRC Bot atakuje użytkowników Androida - ktośtam - 14.01.2012 polak900 napisał(a):android zaczyna być prawie jak winda, badziewia jest coraz więcej na niego Niestety, taka jest cena popularności Re: IRC Bot atakuje użytkowników Androida - polak900 - 14.01.2012 też tak myślę ale i nie tylko apple np mam większy wpływ na swój sklep, aplikacje są sprawdzane tak jak twórcy ma to jednak dobre jak i złe strony. Re: IRC Bot atakuje użytkowników Androida - Kolos28 - 14.01.2012 słyszałem że była to fałszywa aplikacja która podszywała się pod tą grę a najciekawsze że miała ta aplikacja podpis EA z tym że była bodajże darmowa i zamieszczona na AM od krótkiego czasu więc ludzie instalowali to na własne życzenie.. tutaj są oryginalne te tytuły bez ryzyka infekcji: [Aby zobaczyć linki, zarejestruj się tutaj] (wersja amerykańska)oraz tu [Aby zobaczyć linki, zarejestruj się tutaj] (wersja europejska) |