Dość rzadko można natrafić na złośliwe oprogramowanie skierowane specyficznie na polski rynek. Szczególnie, jeśli wziąć pod uwagę ataki drive-by-download, których celem jest system Android. Tym ciekawsza wydaje się analiza, która przeprowadził zespół CERT.
CERT Polska regularnie publikuje bardzo wnikliwe i doskonałe technicznie analizy przechwyconych próbek złośliwego oprogramowania. Dzisiaj rano światło dzienne ujrzał opis nowego, interesującego egzemplarza, złapanego wczoraj.
Przeglądam sobie strony na telefonie, a tu nagle…
Złośliwy program o nazwie poland_xxx.apk został odkryty podczas wizyty na popularnej polskiej stronie internetowej. Prawdopodobnie w ataku wykorzystano system reklam, serwujący złośliwy kod. Samo pobranie aplikacji następowało automatycznie i nie wymagało działania użytkownika innego niż otwarcie niebezpiecznej witryny.
O ile nazwa pliku oraz jego umiejscowienie wskazuje na skierowanie ataku na polskich użytkowników, to na szczęście sam atak nie został do końca dopracowany. Aplikacja posiada rosyjską nazwę Загрузчик i komunikuje się z użytkownikiem po rosyjsku. Najwyraźniej autorowi zabrakło inwencji, by zatrudnić tłumacza.
(źródło: CERT.PL)
Co ten program robi na moim telefonie?
Jeśli użytkownik wyrazi zgodę na dalsze działanie aplikacji i zaakceptuje regulamin, aplikacja wysyła 3 SMSy premium na numery 919xx, 76xx oraz 74xx. Ta operacja kosztuje użytkownika ok. 35 PLN. Numery docelowe pobierane są przez aplikację z zewnętrznego serwera, który w zależności od geolokalizacji telefonu dobiera numery właściwe dla danego kraju. Wg regulaminu aplikacji, wysłanie SMSów ma zostać nagrodzone pobraniem drugiego programu.
Klient botnetu już za 3 SMSy!
O ile pierwsza pobrana aplikacja, poland_xxx.apk jest wykrywana przez 13 z 44 silników antywirusowych, o tyle drugi pobierany plik pozostaje dla nich całkowicie niewinny. file.apk, bo tak się nazywa, nie wyświetla już użytkownikowi żadnych powiadomień, za to w tle komunikuje się z serwerem C&C. Przekazuje do centrali kod sieci, w której znajduje się telefon oraz kod kraju. W zamian może otrzymać trzy rodzaje komend: sendsms, sleep oraz saveid. Dzięki nim serwer C&C może poprosić telefon o wysłanie dowolnego SMSa pod dowolny numer, a aplikacja zadba o to, by uruchamiać się przy każdym włączeniu telefonu.
Wynik analizy VirusTotal (źródło: CERT.PL)
Jak uniknąć problemów
Recepta na brak zaskoczenia przy przeglądaniu rachunku od operatora jest prosta – nie należy instalować nieznanego oprogramowania. Jeśli w trakcie przeglądania internetu nagle pojawiają się nam ekrany po rosyjsku (lub inne, których się nie spodziewamy) – najlepiej nie wybierać żadnych dostępnych opcji (by przez przypadek nie zainstalować programu) i uruchomić ponownie telefon. Na szczęście w zidentyfikowanych do tej pory przypadkach do uruchomienia złośliwej aplikacji na telefonie użytkownika niezbędna jest zgoda samego zainteresowanego – wystarczy jej nie udzielić.
Komentarz
od pewnego czasu, w prawo kazdej firmy oferujacej uslugi teleinformatyczne jest mozliwosc samodzielnego wylaczenia platych uslug lub calkowita ich dezaktywacja. temat – po temacie.