Pronađen trojanac u firmwareu nekih Android uređaja
Mobilni telefoni, 19.11.2014, 14:46 PM
Istraživači ruske firme Doctor Web otkrili su novog trojanca ubačenog u firmware brojnih Android uređaja. Ovaj maliciozni program nazvan Android.Becu.1.origin, preuzima, instalira i uklanja programe bez odobrenja korisnika i blokira SMS poruke koje dolaze sa određenih brojeva.
Malver sadrži nekoliko modula koji imaju blisku interakciju. Fajl Cube_CJIA01.apk je glavni modul ovog malvera koji boravi u sistemskom direktorijumu i digitalno je potpisan od strane operativnog sistema, što mu pruža sve privilegije koje su mu neophodne da bi delovao bez pristanka korisnika. S obzirom da je deo firmwarea, program se veoma teško uklanja sa uređaja konvencionalnim metodama.
Malver stupa u akciju čim se inficirani uređaj uključi ili primi nova SMS poruka. Android.Becu.1.origin u skladu sa svojim konfiguracionim fajlom preuzima jedan šifrovani paket sa udaljenog servera. Nakon dešifrovanja, dobijeni podaci se čuvaju u instalacionom direktorijumu malvera kao uac.apk fajl. Zatim se DexClassLoader koristi za učitavanje podataka u memoriju uređaja. Posle toga, malver pokreće drugu komponentu, uac.dex, koja je takođe sačuvana u direktorijumu. Ova dva modula nose glavni payload i omogućavaju malveru da krišom preuzima, instalira i uklanja aplikacije kada dobije komandu sa servera da to uradi.
Kada su moduli uspešno aktivirani, maliciozni program proverava da li je treći modul dostupan u sistemu. Ovaj modul se čuva u fajlu com.zgs.ga.pack. Ako ga ne pronađe, modul se preuzima i instalira na uređaju. Potom registruje smart telefon ili tablet na udaljeni server prosleđujući napadačima informacije o aktivnim kopijama malvera. Ako bi korisnik uklonio jedan od modula malvera, glavni fajl programa bi ga ponovo instalirao.
Osim glavnih zadataka, nevidljive instalacije i uklanjanja drugih programa, malver može u potpunosti blokirati dolazne SMS poruke sa određenih brojeva.
Do sada su istraživači Doctor Weba otkrili maliciozni kod na mnogim uglavnom jeftinijim modelima Android uređaja. Među njima su UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000 i ALSP H9500. Firmware inficiran malverom Android.Becu.1.origin su ili preuzeli sami korisnici ili su instalirali dobavljači smart telefona i tableta koji su umešani u ovo.
S obzirom da je Android.Becu.1.origin ugrađen u operativni sistem, potpuno uklanjanje standardnim metodama je veoma teško, pa je “zamrzavanje” malvera iz menija za upravljanje aplikacijama najlakši i najbezbedniji način da se izađe na kraj sa malverom. Na taj način, maliciozna aplikacija će postati neaktivna i neće moći da radi. Nakon toga potrebno je ukloniti sporedne komponente (com.system.outapi i com.zgs.ga.pack) koje su možda ranije instalirane.
Iskusniji korisnici glavnu komponentu malvera mogu ukloniti ručno, na uređaju sa omogućenim administratorskim nalogom ili sa firmwareom koji je bez malvera, što će za posledicu imati gubitak svih sačuvanih podataka. S obzirom na potencijalnu štetu koju mogu izazvati ove procedure neophodno je pre toga napraviti kopiju važnih podataka.
Izdvojeno
Bankarski malver sakriven u antivirusnoj aplikaciji
Istraživači kompanije Fox-IT otkrili su novu verziju bankarskog trojanca „Vultur“ za Android koja u odnosu na ranije verzije ima napredn... Dalje
Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije
Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje
WhatsApp će blokirati skrinšotove za slike profila
WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje
Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje
Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje
Signal uveo podršku za korisnička imena u aplikaciji
Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje
Pratite nas
Nagrade