Pronađen trojanac u firmwareu nekih Android uređaja

Mobilni telefoni, 19.11.2014, 14:46 PM

Pronađen trojanac u firmwareu nekih Android uređaja

Istraživači ruske firme Doctor Web otkrili su novog trojanca ubačenog u firmware brojnih Android uređaja. Ovaj maliciozni program nazvan Android.Becu.1.origin, preuzima, instalira i uklanja programe bez odobrenja korisnika i blokira SMS poruke koje dolaze sa određenih brojeva.

Malver sadrži nekoliko modula koji imaju blisku interakciju. Fajl Cube_CJIA01.apk je glavni modul ovog malvera koji boravi u sistemskom direktorijumu i digitalno je potpisan od strane operativnog sistema, što mu pruža sve privilegije koje su mu neophodne da bi delovao bez pristanka korisnika. S obzirom da je deo firmwarea, program se veoma teško uklanja sa uređaja konvencionalnim metodama.

Malver stupa u akciju čim se inficirani uređaj uključi ili primi nova SMS poruka. Android.Becu.1.origin u skladu sa svojim konfiguracionim fajlom preuzima jedan šifrovani paket sa udaljenog servera. Nakon dešifrovanja, dobijeni podaci se čuvaju u instalacionom direktorijumu malvera kao uac.apk fajl. Zatim se DexClassLoader koristi za učitavanje podataka u memoriju uređaja. Posle toga, malver pokreće drugu komponentu, uac.dex, koja je takođe sačuvana u direktorijumu. Ova dva modula nose glavni payload i omogućavaju malveru da krišom preuzima, instalira i uklanja aplikacije kada dobije komandu sa servera da to uradi.

Kada su moduli uspešno aktivirani, maliciozni program proverava da li je treći modul dostupan u sistemu. Ovaj modul se čuva u fajlu com.zgs.ga.pack. Ako ga ne pronađe, modul se preuzima i instalira na uređaju. Potom registruje smart telefon ili tablet na udaljeni server prosleđujući napadačima informacije o aktivnim kopijama malvera. Ako bi korisnik uklonio jedan od modula malvera, glavni fajl programa bi ga ponovo instalirao.

Osim glavnih zadataka, nevidljive instalacije i uklanjanja drugih programa, malver može u potpunosti blokirati dolazne SMS poruke sa određenih brojeva.

Do sada su istraživači Doctor Weba otkrili maliciozni kod na mnogim uglavnom jeftinijim modelima Android uređaja. Među njima su UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000 i ALSP H9500. Firmware inficiran malverom Android.Becu.1.origin su ili preuzeli sami korisnici ili su instalirali dobavljači smart telefona i tableta koji su umešani u ovo.

S obzirom da je Android.Becu.1.origin ugrađen u operativni sistem, potpuno uklanjanje standardnim metodama je veoma teško, pa je “zamrzavanje” malvera iz menija za upravljanje aplikacijama najlakši i najbezbedniji način da se izađe na kraj sa malverom. Na taj način, maliciozna aplikacija će postati neaktivna i neće moći da radi. Nakon toga potrebno je ukloniti sporedne komponente (com.system.outapi i com.zgs.ga.pack) koje su možda ranije instalirane.

Iskusniji korisnici glavnu komponentu malvera mogu ukloniti ručno, na uređaju sa omogućenim administratorskim nalogom ili sa firmwareom koji je bez malvera, što će za posledicu imati gubitak svih sačuvanih podataka. S obzirom na potencijalnu štetu koju mogu izazvati ove procedure neophodno je pre toga napraviti kopiju važnih podataka.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Nakon medijskih izveštaja da čitač otiska prsta u Samsung Galaxy S10 telefonima otključava uređaj i kad skenira neregistrovane otiske prstiju pre... Dalje

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Par iz Velike Britanije primetio je čudnu grešku na svom Samsung Galaxy S10 koja omogućava da se zaobiđe čitač otiska prsta kako bi se otključ... Dalje

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Uprkos Googleovim naporima da njegova prodavnica Android aplikacija bude bez malvera, maliciozne aplikacije i dalje nekako uspevaju da prođu proces p... Dalje

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Skoro svaka aplikacija sadrži bezbednosne propuste, od kojih će neki možda biti otkriveni već danas, ali drugi će ostati nevidljivi dok ih neko n... Dalje

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Googleova Grupa za analizu pretnji (TAG) otkrila je novi 0-day bag u Androidu koji se uveliko koristi za napade na ranjive pametne telefone - Google P... Dalje