03.07.2014, 08:37
Badacze z FireEye poinformowali o nowym niebezpiecznym malware na Androida pod nazwą “Google Service Framework”. Szkodnik ten, zgłoszony przez banki koreańskie, należy do klasy RAT (remote access tool) czyli pozostaje pod zdalna kontrolą swoich serwerów, a nie dość tego ma zdolność wyłączania zainstalowanychaplikacji AV...poza innymi działaniami, o których niżej. Na marginesie szkodnik na razie ma (wg autorów opracowania) tylko 5 wskazań na 54 na VT.
Struktura szkodnika poniżej
Infekcja zaczyna się od pobrania i uruchomienia pliku instalacyjnego pod nazwą com.ll opatrzonego domyślną ikonką Androida...po kilu sekundach od instalacji na ekranie urządzenia pojawia się ikonka, a po jej kliknięciu aplikacja pyta o uprawnienia administratora. Po aktywacji znika możliwość deinstalacji aplikacji, a sama ikona na ekranie kliknięta ponownie również znika...cała reszta zaczyna się dziać w tle.
Poniżej lista zadań, które realizuje szkodnik, a pierwszy z nich o nazwie "UploadDetail" zbiera i wysyła informacje na temat numeru telefonu, urządzenia i listę kontaktów. Moduł poszukuje również zainstalowanych aplikacji bankowych...jeśli zostaną wykryte, to inny moduł "PopWindow" stara się je zastąpić własnymi, ale zanim to zrobi wyszukuje i jeśli jest to wyłącza moduł antywirusowy com.ahnlab.v3mobileplus, który jest bardzo popularnym składnikiem aplikacji bankowych dostępnych w Google Play. Po wyłączeniu go pokazuje okienko z komunikatem o konieczności zainstalowania nowej wersji aplikacji bankowej...jak można sie domyślac instalujemy już wtedy fałszywą aplikację.
Całość materiałów źródłowych
Struktura szkodnika poniżej
[Aby zobaczyć linki, zarejestruj się tutaj]
Infekcja zaczyna się od pobrania i uruchomienia pliku instalacyjnego pod nazwą com.ll opatrzonego domyślną ikonką Androida...po kilu sekundach od instalacji na ekranie urządzenia pojawia się ikonka, a po jej kliknięciu aplikacja pyta o uprawnienia administratora. Po aktywacji znika możliwość deinstalacji aplikacji, a sama ikona na ekranie kliknięta ponownie również znika...cała reszta zaczyna się dziać w tle.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Poniżej lista zadań, które realizuje szkodnik, a pierwszy z nich o nazwie "UploadDetail" zbiera i wysyła informacje na temat numeru telefonu, urządzenia i listę kontaktów. Moduł poszukuje również zainstalowanych aplikacji bankowych...jeśli zostaną wykryte, to inny moduł "PopWindow" stara się je zastąpić własnymi, ale zanim to zrobi wyszukuje i jeśli jest to wyłącza moduł antywirusowy com.ahnlab.v3mobileplus, który jest bardzo popularnym składnikiem aplikacji bankowych dostępnych w Google Play. Po wyłączeniu go pokazuje okienko z komunikatem o konieczności zainstalowania nowej wersji aplikacji bankowej...jak można sie domyślac instalujemy już wtedy fałszywą aplikację.
[Aby zobaczyć linki, zarejestruj się tutaj]
Całość materiałów źródłowych
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"