SMS-owy robak atakuje urządzenia z systemem Android

17 listopada, 2014

Wysyłanie masowych wiadomości SMS zawierających niebezpieczne linki ze szkodliwym malware jest obecnie jednym z najpopularniejszych sposobów  na rozpowszechnianie zagrożeń związanych z systemem Android. Takie metody rozsyłania szkodliwych programów są wykorzystywane przez cyberprzestępców do dystrybucji tzw. robaków SMS. Na początku listopada analitycy bezpieczeństwa firmy Doctor Web odkryli kolejny tego rodzaju program. Po uruchomieniu niebezpieczny bot może wysyłać krótkie wiadomości, usuwać zainstalowane aplikacje i pliki, wykradać poufne informacje, atakować oraz wykonywać inne szkodliwe działania na zainfekowanym urządzeniu.

Zarejestrowany w bazie wirusów programu Dr.Web, Android.Wormle.1.origin wyposażony jest w różne funkcje. Po zainstalowaniu bot tworzy na ekranie głównym skrót i działa jako usługa systemowa com.driver.system.

android wormle 1

Android.Wormle.1.origin łączy się z serwerem dowodzenia i kontroli (C&C) i czeka na dalsze wskazówki od hakerów. Warto zauważyć, że cyberprzestępcy mogą kontrolować bota bezpośrednio przez ich serwer C&C, jak również za pośrednictwem Google Cloud Messaging-usługi, która pozwala programistom komunikować się ze swoimi aplikacjami na docelowych urządzeniach poprzez aktywne konto Google.

Program ten ma bardzo rozbudowany zestaw funkcji. W szczególności, może wykonać następujące zadania:

  • Wysyłać wiadomości SMS z określonym tekstem do jednego lub kilku numerów wyszczególnionych w poleceniu;
  • Wysyłać wiadomości SMS z określonym tekstem do wszystkich numerów w książce adresowej;
  • Dodać określony numer telefonu do czarnej listy po to, aby blokować przychodzące wiadomości SMS i połączenia z tego numeru;
  • Wysyłać zapytanie o kod USSD – (numer USSD jest na czarnej liście po to, aby upewnić się, że użytkownik nie będzie otrzymywał wiadomości zwrotnych);
  • Przekazywać informacje o wszystkich otrzymywanych wiadomościach SMS i połączeniach wychodzących do serwera C&C;
  • Uruchamiać dyktafon lub zatrzymywać nagrywanie w jego trakcie;
  • Pozyskać informacje o kontach powiązanych z zainfekowanym urządzeniem;
  • Pozyskać informacje o wszystkich zainstalowanych aplikacjach;
  • Zdobyć informacje o kontaktach;
  • Gromadzić informacje o operatorze komórkowym;
  • Określić wersję systemu operacyjnego;
  • Ustalić kraj, w którym zarejestrowana została karta SIM;
  • Określić numer abonenta;
  • Usunąć określone aplikacje (aby tego dokonać bot wyświetla specjalne okno dialogowe, które zmusza użytkownika do usunięcia programu);
  • Zbierać informacje o plikach i katalogach znajdujących się na karcie SD;
  • Ładować archiwum zip zawierające określony w instrukcji plik lub folder do serwera C&C;
  • Usuwać dany plik lub katalog;
  • Usuwać wszystkie wiadomości SMS zapisywane na urządzeniu;
  • Przeprowadzić atak DDoS na określonej stronie internetowej;
  • Nawiązać połączenie z serwerem C&C zgodnie ze specjalnymi parametrami;
  • Zmienić adres serwera sterującego;
  • Wyczyścić czarną listę.

Cyberprzestępcy mogą zatem za pomocą programu Android.Wormle.1.origin wykonywać różnego rodzaju zadania począwszy od wysyłania płatnych wiadomości SMS i kradzieży poufnych danych  do przeprowadzania ataków DDoS na różnych stronach internetowych. Ponadto, wirus może pozyskiwać informacje o koncie bankowym, co rozszerza zakres szkodliwego działania programu na jeszcze większą skalę.

Android.Wormle.1.origin działa jak robak SMS i rozprzestrzenia się na urządzeniach z systemem Android za pośrednictwem SMS-ów zawierających link do pobrania. Takie komunikaty mogą wyglądać następująco:

„Kocham Cię http://[]app.ru/*numer*”, gdzie „numer” to numer odbiorcy.

Tak wyglądające wiadomości są wysyłane do wszystkich adresatów w książce telefonicznej, przez co Android.Wormle.1.origin może zainfekować bardzo dużą ilość urządzeń w krótkim czasie, a tym samym poszerzyć znacznie sam botnet. Statystyki zebrane przez Doctor Web wskazują, że jak dotąd złośliwym oprogramowaniem zostało zainfekowanych ponad 14,000 tysięcy urządzeń, należących do użytkowników mieszkających w ponad 20 krajach. Większość z nich – 12, 946 tysięcy (91,49%) – znajduje się w Rosji, a następnie na Ukrainie (0,88%), w USA (0,76%), na Białorusi (0,51%), w Kazachstanie (0,25%), Uzbekistanie (0,21%) i Tadżykistanie (0,15 %), co obrazuje również poniższa mapa: 

android wormle map en

„Analitycy bezpieczeństwa Doctor Web w dalszym ciągu uważnie monitorują to zagrożenie. Wpis do wykrywania tego szkodliwego programu został dodany do bazy danych wirusów, tak więc urządzenia z systemem Android, na których działa program Dr.Web  oraz Dr.Web Light są chronione przed atakami programu Android.Wormle.1.origin” – informuje Joanna Schulz-Torój, specjalista Doctor Web.

źródło: Doctor Web

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]