Pronađen trojanac u firmwareu nekih Android uređaja

Mobilni telefoni, 19.11.2014, 14:46 PM

Pronađen trojanac u firmwareu nekih Android uređaja

Istraživači ruske firme Doctor Web otkrili su novog trojanca ubačenog u firmware brojnih Android uređaja. Ovaj maliciozni program nazvan Android.Becu.1.origin, preuzima, instalira i uklanja programe bez odobrenja korisnika i blokira SMS poruke koje dolaze sa određenih brojeva.

Malver sadrži nekoliko modula koji imaju blisku interakciju. Fajl Cube_CJIA01.apk je glavni modul ovog malvera koji boravi u sistemskom direktorijumu i digitalno je potpisan od strane operativnog sistema, što mu pruža sve privilegije koje su mu neophodne da bi delovao bez pristanka korisnika. S obzirom da je deo firmwarea, program se veoma teško uklanja sa uređaja konvencionalnim metodama.

Malver stupa u akciju čim se inficirani uređaj uključi ili primi nova SMS poruka. Android.Becu.1.origin u skladu sa svojim konfiguracionim fajlom preuzima jedan šifrovani paket sa udaljenog servera. Nakon dešifrovanja, dobijeni podaci se čuvaju u instalacionom direktorijumu malvera kao uac.apk fajl. Zatim se DexClassLoader koristi za učitavanje podataka u memoriju uređaja. Posle toga, malver pokreće drugu komponentu, uac.dex, koja je takođe sačuvana u direktorijumu. Ova dva modula nose glavni payload i omogućavaju malveru da krišom preuzima, instalira i uklanja aplikacije kada dobije komandu sa servera da to uradi.

Kada su moduli uspešno aktivirani, maliciozni program proverava da li je treći modul dostupan u sistemu. Ovaj modul se čuva u fajlu com.zgs.ga.pack. Ako ga ne pronađe, modul se preuzima i instalira na uređaju. Potom registruje smart telefon ili tablet na udaljeni server prosleđujući napadačima informacije o aktivnim kopijama malvera. Ako bi korisnik uklonio jedan od modula malvera, glavni fajl programa bi ga ponovo instalirao.

Osim glavnih zadataka, nevidljive instalacije i uklanjanja drugih programa, malver može u potpunosti blokirati dolazne SMS poruke sa određenih brojeva.

Do sada su istraživači Doctor Weba otkrili maliciozni kod na mnogim uglavnom jeftinijim modelima Android uređaja. Među njima su UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000 i ALSP H9500. Firmware inficiran malverom Android.Becu.1.origin su ili preuzeli sami korisnici ili su instalirali dobavljači smart telefona i tableta koji su umešani u ovo.

S obzirom da je Android.Becu.1.origin ugrađen u operativni sistem, potpuno uklanjanje standardnim metodama je veoma teško, pa je “zamrzavanje” malvera iz menija za upravljanje aplikacijama najlakši i najbezbedniji način da se izađe na kraj sa malverom. Na taj način, maliciozna aplikacija će postati neaktivna i neće moći da radi. Nakon toga potrebno je ukloniti sporedne komponente (com.system.outapi i com.zgs.ga.pack) koje su možda ranije instalirane.

Iskusniji korisnici glavnu komponentu malvera mogu ukloniti ručno, na uređaju sa omogućenim administratorskim nalogom ili sa firmwareom koji je bez malvera, što će za posledicu imati gubitak svih sačuvanih podataka. S obzirom na potencijalnu štetu koju mogu izazvati ove procedure neophodno je pre toga napraviti kopiju važnih podataka.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Choicejacking: Kako punjač može da ukrade podatke sa vašeg telefona

Choicejacking: Kako punjač može da ukrade podatke sa vašeg telefona

Ako ste mislili da je korišćenje javnog punjača za telefon bezbedno, možda bi trebalo da razmislite ponovo. Nova metoda poznata kao „Choice... Dalje

Konfety: Kameleon koji krade podatke i zaobilazi zaštitu Androida

Konfety: Kameleon koji krade podatke i zaobilazi zaštitu Androida

Nova varijanta Android malvera Konfety zabrinula je stručnjake za sajber bezbednost zbog sofisticiranih metoda skrivanja i zaobilaženja zaštite. Ko... Dalje

Vaša eSIM kartica možda nije bezbedna koliko mislite

Vaša eSIM kartica možda nije bezbedna koliko mislite

Poljski istraživači iz Security Exploration tima uspeli su da hakuju čip koji čuva profile eSIM kartica (ugrađenih SIM kartica), čime su otvoril... Dalje

Android 16 korisnicima Chrome-a donosi proširenu Naprednu zaštitu

Android 16 korisnicima Chrome-a donosi proširenu Naprednu zaštitu

Ako spadate u rizične korisnike koji mogu biti meta špijunskog softvera i naprednih napada, ovo je dobra vest za vas. Sa dolaskom Android 16, Google... Dalje

U popularnoj PDF aplikaciji na Google Play otkriven opasni bankarski trojanac Anatsa

U popularnoj PDF aplikaciji na Google Play otkriven opasni bankarski trojanac Anatsa

Zamislite sledeću situaciju: preuzmete običnu aplikaciju za pregled PDF fajlova. Radi besprekorno, ima hiljade preuzimanja, odlične ocene i sve izg... Dalje