Rozwiązanie Check Point Mobile Threat Prevention służące do ochrony urządzeń mobilnych, które mieliśmy okazję poddać recenzji i testom, zidentyfikowało w 36 "high-end'owych" urządzeniach należących do dużej firmy telekomunikacyjnej działającej na rynkach międzynarodowych preinstalowane w systemie operacyjnym Android złośliwe oprogramowanie. Check Point ze względu na dobre imię firmy nie podaje jej nazwy, ale i tak nie jest to istotne. Fakt wykrycia złośliwego kodu, który nie został pobrany i uruchomiony przez nieroztropnego pracownika, ale w wyniku prawdziwego i behawioralnego skanowania, którego analiza wykazała istnienie złośliwego kodu w przerobionych firmware producentów, jest bardzo niepokojący.

Check Point Mobile Threat Prevention nie działa prewencyjnie, lecz dokonuje analizy w momencie wykonania zdarzenia. Oznacza to, że bezpieczeństwo programu oceniane jest w wyniku behawioralnej analizy heurystycznej realizowanej na kopii aplikacji uruchomionej w piaskownicy (technika ta dostępna jest tylko w systemie Android, budowa iOS nie pozwala na to).

Check Point MTP działa na podstawie silnika BRE (Behavioral Risk Engine) w chmurze. Informacje o sieciowych połączeniach, próbach dostępu do uprawnień root, danych wysyłanych z urządzenia przez analizowaną aplikację — to wszystko przekłada się na wynik bezpieczeństwa (poziom zagrożenia). Analiza zostaje uruchomiona nawet wtedy, kiedy użytkownik próbuje połączyć się do sieci Wi-Fi — w tym czasie zainstalowany agent, aby wykryć wszelkie anomalie, weryfikuje integralność połączeń SSL. Sprawdza połączenia stosując analizę z wykorzystaniem honetypotów w chmurze i ustala, czy dochodzi do prób przechwycenia połączenia (atak man in the middle). Dodatkowo monitoruje sygnatury i źródło pochodzenia aplikacji (oficjalne repozytorium, plik APK) podczas instalowania i aktualizacji programów oraz sprawdza integralność systemu operacyjnego wykrywając znane podatności i niekorzystne ustawienia urządzenia. W ocenie poziomu ryzyka bierze udział API VirusTotal, dzięki któremu konsola administratora zostaje uzupełniona o informacje z całej analizy aplikacji na temat jej poziomu zagrożenia.

Zobacz recenzję Check Point Mobile Threat Prevention.

Według ustaleń ekspertów z Check Point złośliwe oprogramowanie było już obecne na urządzeniach zanim otrzymali je pracownicy. Co więcej, analiza wykazała, że szkodliwe aplikacje nie były częścią oficjalnego ROM-u dostarczonego przez producenta, ale „doinstalowano” go gdzieś w trakcie łańcucha dostaw urządzeń od producenta do klienta końcowego. Sześć z dodanych do ROM-u złośliwych aplikacji jest częścią systemowego oprogramowania, dlatego ich usunięcie nie jest możliwe bez dostępu do uprawnień użytkownika root.

Złośliwe aplikacje wykryto na tych urządzeniach:

  • Galaxy Note 2
  • LG G4
  • Galaxy S7
  • Galaxy S4
  • Galaxy Note 4
  • Galaxy Note 5
  • Xiaomi Mi 4i
  • Galaxy A5
  • ZTE x500
  • Galaxy Note 3
  • Galaxy Note Edge
  • Galaxy Tab S2
  • Galaxy Tab 2
  • Oppo N3
  • Vivo X6 plus
  • Nexus 5
  • Nexus 5X
  • Asus Zenfone 2
  • LenovoS90
  • OppoR7 plus
  • Xiaomi Redmi
  • Lenovo A850
Złośliwa aplikacja SHA-256 Urządzenie
com.fone.player1 3d99f490802f767201e8d507def4360319ce12ddf46765ca1b1168d64041f20f

Galaxy Note 2,

LG G4

com.lu.compass f901fd1fc2ce079a18c619e1192b14dcc164c97da3286031ee542dabe0b4cd8c

Galaxy S7,

Galaxy S4

com.kandian.hdtogoapp b4e70118905659cd9b2c948ce59eba2c4431149d8eb8f043796806262d9a625b

Galaxy Note 4,

Galaxy Note 8.0

com.sds.android.ttpod 936e7af60845c4a90b8ce033734da67d080b4f4f0ca9c319755c4a179d54bf1b

Galaxy Note 2,

Xiaomi Mi 4i

com.baycode.mop 39c6bab80cc157bfe540bdee9ce2440b3b363e830bc7adaab9fc37075fb26fb1 Galaxy A5
com.kandian.hdtogoapp 998ab3d91cbc4f1b02ea6095f833bfed9d4f610eea83c51c56ce9979a2469aea Galaxy S4
com.iflytek.ringdiyclient e9a30767e69dccb1b980eae42601dff857a394c7abdfe93a18e8739fa218d14b ZTE x500
com.android.deketv 01b8cb51464b07775ff5f45207d26d8d9f4a3b6863c110b56076b446bda03a8a Galaxy A5
com.changba a07745f05913e122ec19eba9848af6dfda88533d67b7ec17d11c1562245cbed1

Galaxy S4,

Galaxy Note, 

3Galaxy S4,

Galaxy Note Edge,

Galaxy Note 4

com.example.loader e4e97090e9fd6cc3d321cee5799efd1806b5d8a9dea7c4872044057eb1c486ff Galaxy Tab S2
com.armorforandroid.security 947574e790b1370e2a6b5f4738c8411c63bdca09a7455dd9297215bd161cd591 Galaxy Tab 2
com.android.ys.services 0d8bf3cf5b58d9ba280f093430259538b6340b24e805058f3d85381d215ca778

Oppo N3,

vivo X6 plus

com.mobogenie.daemon 0038f450d7f1df75bf5890cf22299b0c99cc0bea8d66e6d25528cb01992a436b Galaxy S4
com.google.googlesearch 217eee3a83f33b658fb03fddfadd0e2eb34781d5dd243203da21f6cb335ef1b4

5 Asus Zenfone 2,

LenovoS90

com.skymobi.mopoplay.appstore 3032bb3d90eea6de2ba58ac7ceddead702cc3aeca7792b27508e540f0d1a60be LenovoS90
com.example.loader 1cb5a37bd866e92b993ecbbcc4a2478c717eeb93839049ef0953b0c6ba89434e OppoR7 plus
com.yongfu.wenjianjiaguanli e5656c1d96158ee7e1a94f08bca1213686a05266e37fb2efb5443b84250ea29d Xiaomi Redmi
air.fyzb3 c4eac5d13e58fb7d32a123105683a293f70456ffe43bb640a50fde22fe1334a2 Galaxy Note 4
com.ddev.downloader.v2 92ae2083a8495cc5b0a0a82f0bdeb53877170d2615ce93bd8081172af9e60f8f Galaxy Note 5
com.mojang.minecraftpe fbe9c495f86a291a0abe67ad36712475ff0674d319334dbd7a2c3aa10ff0f429 Galaxy Note Edge
com.androidhelper.sdk b0f6d2fc8176356124e502426d7aa7448490556ef68a2f31a78f4dd8af9d1750 Lenovo A850

Większość złośliwego oprogramowania okazała się być preinstalowana na dostarczonych do firmy urządzeniach i wchodziła w skład malware z funkcjami kradzieży informacji i wyświetlania reklam.

Najgroźniejszym wykrytym szkodnikiem był Slocker – mobilny ransomware, który wykorzystuje algorytm szyfrowania AES i komunikuje się z C&C poprzez sieć Tor oraz trojan Loki, który wyświetla reklamy w aplikacjach (w tym w przeglądarce) dając sposobność swoim autorom na zarobek na kliknięciach.

Co należy zrobić?

1. Przede wszystkim rzucić okiem na powyższą tabelkę.

2. Podłączyć urządzenie mobilne do komputera i przeskanować jego całą zawartość celem wyeksponowania sum kontrolnych plików wyrażonych w SHA-256. Należy odszukać sumy kontrolne z tabelki. Można do tego celu wykorzystać oprogramowanie dla Windows: MD5 Checksum Tool. Dla Linux wystarczy polecenie w terminalu: sha256sum * dla plików w danym katalogu.

3. Skorzystać z mobilnego antywirusa firmy Check Point: Zone Alarm Mobile Security, który powinien już mieć uzupełnione bazy danych o zagrożenia, które zostały zidentyfikowane przez inne specjalistyczne rozwiązanie ochronne tego samego producenta.

Jak chronić się przed preinstalowanym malware?

Unikanie ryzykownych stron internetowych i pobieranie aplikacji wyłącznie z oficjalnego repozytorium i tak nie rozwiąże wszystkich problemów. W sklepie Google Play już teraz można znaleźć setki, jeśli nie tysiące szkodliwych programów, które przeszły testy bezpieczeństwa skanerów Google. Odkrycie jednego z nich jako integralną część systemu operacyjnego wprowadza jeszcze więcej zamieszania do procesów bezpieczeństwa, których i tak nie jest już łatwo realizować ze względu na BYOD oraz Shadow IT.

W jaki sposób chronić się przed backdoorem? Check Point zaznacza, że "należy wdrożyć zaawansowane środki bezpieczeństwa, które są zdolne do identyfikacji i blokowania nieprawidłowości w zachowaniu aplikacji". Czy można się z tym stwierdzeniem nie zgodzić?

Nadal czekamy na oficjalne stanowisko firmy Check Point w tej sprawie. Po otrzymaniu niezbędnych informacji pomocnych w identyfikacji oraz w usunięciu zagrożeń poinformujemy o tym na łamach naszego portalu.

[ Aktualizacja 14.03.2017 ]

Check Point nie ma w planach opracowania dedykowanej aplikacji, która pomogłaby w identyfikacji i usunięciu zagrożeń. Producent poinformował nas, że użytkownicy mogą skorzystać z antywirusa ZoneAlarm Mobile Security for Android, który potrafi już wykryć opisywane wyżej zagrożenia.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

faziruda pon., 13-03-2017 - 18:45

O ile pamiętam to Eset Mobile Security też zgłasza te zagrożenia . Oczywiście usunąć zagrożeń nie można bo są częścią systemu albo przez root . Miałem to zdarzenie na jakimś Samsungu ale nie pamiętam na jakim modelu .

Adrian Ścibor pon., 13-03-2017 - 18:47

@#1 Check Point wykrył to zagrożenie w konkretnej firmie, ale z całą pewnością podrobione ROM-y są w znacznie większej liczbie urządzeń.

faziruda pon., 13-03-2017 - 18:55

Obecnie mam telefon Huawei P9 Lite a żona Samsung S6 Edge i na tych telefonach Eset nic nie zgłasza to chyba są czyste ?

Adrian Ścibor pon., 13-03-2017 - 20:22

@#3 Jednemu antywirusowi na pewno nie można ufać.