Niebezpieczny trojan ukrywa się w oficjalnym firmware dla Androida

29 września, 2015

Zazwyczaj cyberprzestępcy używają dość trywialnej procedury, aby zainfekować urządzenia mobilne z Androidem — zmuszają swoje ofiary do samodzielnej instalacji złośliwych aplikacji. Jednakże ten algorytm nie jest jedynym, który twórcy wirusów mają do dyspozycji. Analitycy bezpieczeństwa Doctor Web wciąż kontynuują rejestrowanie nowych przypadków trojanów dla Androida, które są preinstalowane na urządzeniach jako aplikacje systemowe, dokonujące złośliwej aktywności bez wiedzy użytkownika. Ostatnio specjaliści Doctor Web zarejestrowali kolejny incydent tego typu, wywołany przez Android.Backdoor.114.

Android.Backdoor.114.origin jest znany analitykom Doctor Web już od dłuższego czasu — pierwszy raz ten trojan pojawił się ponad rok temu. Od tej pory wciąż stanowi wielkie zagrożenie dla użytkowników systemu Android, głównie dlatego, że bywa wbudowany bezpośrednio w firmware urządzenia mobilnego. W rezultacie usunięcie trojana stało się prawie niemożliwe z użyciem typowych narzędzi. Aby uwolnić się od złośliwego programu, użytkownik musi uzyskać uprawnienia root’a, co może być trudne (lub nawet niebezpieczne) do zrealizowania. Inną drogą jest ponowna instalacja systemu operacyjnego, jednakże to może prowadzić do trwałej utraty wszystkich danych, które nie zostały zachowane w kopiach zapasowych.

We wrześniu analitycy bezpieczeństwa Doctor Web byli świadkami nowej infekcji wywołanej przez Android.Backdoor.114.origin. Właściciele Oysters T104 HVi 3G stali się ofiarami złośliwej aktywności tego backdoora — na ich urządzeniach malware ukrywało się w preinstalowanej aplikacji GoogleQuickSearchBox.apk. Mimo że producent został powiadomiony o problemie, do dziś oficjalna, dostępna do pobrania, wersja firmware nie przeszła żadnych zmian i wciąż zawiera w sobie backdoora.

Android.Backdoor.114.origin pozyskuje i wysyła na serwer kontrolno-zarządzający informacje o zainfekowanym urządzeniu. W zależności od modyfikacji potrafi wysyłać cyberprzestępcom następujące dane:

  • Unikalny identyfikator zainfekowanego urządzenia
  • Adres MAC karty Bluetooth
  • Rodzaj zainfekowanego urządzenia (smartfon lub tablet)
  • Parametry z pliku konfiguracyjnego
  • Adres MAC
  • IMSI
  • Wersję złośliwej aplikacji
  • Wersję systemu operacyjnego
  • Wersję API urządzenia
  • Rodzaj połączenia sieciowego
  • Nazwę pakietu aplikacji
  • ID kraju
  • Rozdzielczość ekranu
  • Nazwę producenta urządzenia
  • Nazwę modelu
  • Ilość zajętego miejsca na karcie SD
  • Ilość wolnego miejsca na karcie SD
  • Ilość zajętego miejsca w pamięci wewnętrznej
  • Ilość wolnego miejsca w pamięci wewnętrznej
  • Listę aplikacji zainstalowanych w folderze systemowym
  • Listę aplikacji zainstalowanych przez użytkownika

Jednak głównym celem Android.Backdoor.114.origin jest skryte ładowanie, instalowanie i usuwanie aplikacji po otrzymaniu komendy z serwera kontrolno-zarządzającego. Co więcej, trojan potrafi aktywować wyłączoną opcję instalowania aplikacji z niepewnych źródeł. W ten sposób, nawet gdy użytkownik stosuje się do zalecanych reguł bezpieczeństwa, backdoor potrafi zmodyfikować ustawienia w celu instalacji programów reklamowych oraz niechcianych i niebezpiecznych aplikacji.

Analitycy bezpieczeństwa Doctor Web zalecają użytkownikom systemu Android przeprowadzanie okresowego skanowania antywirusowego swoich urządzeń pod kątem znanych złośliwych programów. Jeśli trojan lub inny złośliwy program zostanie wykryty w firmware, zaleca się skontaktowanie z producentem urządzenia w celu uzyskania poprawionego obrazu systemu operacyjnego, ponieważ w większości przypadków, usunięcie takiego malware z użyciem wbudowanych narzędzi (włączając oprogramowanie antywirusowe) jest niemożliwe.

źródło: Doctor Web

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]