Pronađen trojanac u firmwareu nekih Android uređaja

Mobilni telefoni, 19.11.2014, 14:46 PM

Pronađen trojanac u firmwareu nekih Android uređaja

Istraživači ruske firme Doctor Web otkrili su novog trojanca ubačenog u firmware brojnih Android uređaja. Ovaj maliciozni program nazvan Android.Becu.1.origin, preuzima, instalira i uklanja programe bez odobrenja korisnika i blokira SMS poruke koje dolaze sa određenih brojeva.

Malver sadrži nekoliko modula koji imaju blisku interakciju. Fajl Cube_CJIA01.apk je glavni modul ovog malvera koji boravi u sistemskom direktorijumu i digitalno je potpisan od strane operativnog sistema, što mu pruža sve privilegije koje su mu neophodne da bi delovao bez pristanka korisnika. S obzirom da je deo firmwarea, program se veoma teško uklanja sa uređaja konvencionalnim metodama.

Malver stupa u akciju čim se inficirani uređaj uključi ili primi nova SMS poruka. Android.Becu.1.origin u skladu sa svojim konfiguracionim fajlom preuzima jedan šifrovani paket sa udaljenog servera. Nakon dešifrovanja, dobijeni podaci se čuvaju u instalacionom direktorijumu malvera kao uac.apk fajl. Zatim se DexClassLoader koristi za učitavanje podataka u memoriju uređaja. Posle toga, malver pokreće drugu komponentu, uac.dex, koja je takođe sačuvana u direktorijumu. Ova dva modula nose glavni payload i omogućavaju malveru da krišom preuzima, instalira i uklanja aplikacije kada dobije komandu sa servera da to uradi.

Kada su moduli uspešno aktivirani, maliciozni program proverava da li je treći modul dostupan u sistemu. Ovaj modul se čuva u fajlu com.zgs.ga.pack. Ako ga ne pronađe, modul se preuzima i instalira na uređaju. Potom registruje smart telefon ili tablet na udaljeni server prosleđujući napadačima informacije o aktivnim kopijama malvera. Ako bi korisnik uklonio jedan od modula malvera, glavni fajl programa bi ga ponovo instalirao.

Osim glavnih zadataka, nevidljive instalacije i uklanjanja drugih programa, malver može u potpunosti blokirati dolazne SMS poruke sa određenih brojeva.

Do sada su istraživači Doctor Weba otkrili maliciozni kod na mnogim uglavnom jeftinijim modelima Android uređaja. Među njima su UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000 i ALSP H9500. Firmware inficiran malverom Android.Becu.1.origin su ili preuzeli sami korisnici ili su instalirali dobavljači smart telefona i tableta koji su umešani u ovo.

S obzirom da je Android.Becu.1.origin ugrađen u operativni sistem, potpuno uklanjanje standardnim metodama je veoma teško, pa je “zamrzavanje” malvera iz menija za upravljanje aplikacijama najlakši i najbezbedniji način da se izađe na kraj sa malverom. Na taj način, maliciozna aplikacija će postati neaktivna i neće moći da radi. Nakon toga potrebno je ukloniti sporedne komponente (com.system.outapi i com.zgs.ga.pack) koje su možda ranije instalirane.

Iskusniji korisnici glavnu komponentu malvera mogu ukloniti ručno, na uređaju sa omogućenim administratorskim nalogom ili sa firmwareom koji je bez malvera, što će za posledicu imati gubitak svih sačuvanih podataka. S obzirom na potencijalnu štetu koju mogu izazvati ove procedure neophodno je pre toga napraviti kopiju važnih podataka.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Ovih dana je lako doći do aplikacija za praćenje za mobilne telefone. Ne morate ih mnogo tražiti, ima ih i u Googleovoj prodavnici Android aplikaci... Dalje

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Istraživači kompanije Symantec pokazali su nekoliko zanimljivih scenarija napada na aplikacije WhatsApp i Telegram za Android. Napad nazvan "Media F... Dalje

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa ure... Dalje

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

“Tekstualne bombe” su već duže vreme problem na iPhone uređajima, ali ovaj put je to ozbiljno, jer se može popraviti samo potpunim br... Dalje

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lukas Stefanko, iz kompanije ESET, otkrio je u Google Play prodavnici lažnu aplikaciju pod nazivom ES File Explorer. Aplikacija nije nudila korisnici... Dalje