Nowy malware na Androida atakuje polskich użytkowników

dodał 26 czerwca 2012 o 16:44 w kategorii Złośniki  z tagami:
Nowy malware na Androida atakuje polskich użytkowników

Dość rzadko można natrafić na złośliwe oprogramowanie skierowane specyficznie na polski rynek. Szczególnie, jeśli wziąć pod uwagę ataki drive-by-download, których celem jest system Android. Tym ciekawsza wydaje się analiza, która przeprowadził zespół CERT.

CERT Polska regularnie publikuje bardzo wnikliwe i doskonałe technicznie analizy przechwyconych próbek złośliwego oprogramowania. Dzisiaj rano światło dzienne ujrzał opis nowego, interesującego egzemplarza, złapanego wczoraj.

Przeglądam sobie strony na telefonie, a tu nagle…

Złośliwy program o nazwie poland_xxx.apk został odkryty podczas wizyty na popularnej polskiej stronie internetowej. Prawdopodobnie w ataku wykorzystano system reklam, serwujący złośliwy kod. Samo pobranie aplikacji następowało automatycznie i nie wymagało działania użytkownika innego niż otwarcie niebezpiecznej witryny.

O ile nazwa pliku oraz jego umiejscowienie wskazuje na skierowanie ataku na polskich użytkowników, to na szczęście sam atak nie został do końca dopracowany. Aplikacja posiada rosyjską nazwę Загрузчик i komunikuje się z użytkownikiem po rosyjsku. Najwyraźniej autorowi zabrakło inwencji, by zatrudnić tłumacza.

(źródło: CERT.PL)

Co ten program robi na moim telefonie?

Jeśli użytkownik wyrazi zgodę na dalsze działanie aplikacji i zaakceptuje regulamin, aplikacja wysyła 3 SMSy premium na numery 919xx, 76xx oraz 74xx. Ta operacja kosztuje użytkownika ok. 35 PLN. Numery docelowe pobierane są przez aplikację z zewnętrznego serwera, który w zależności od geolokalizacji telefonu dobiera numery właściwe dla danego kraju. Wg regulaminu aplikacji, wysłanie SMSów ma zostać nagrodzone pobraniem drugiego programu.

Klient botnetu już za 3 SMSy!

O ile pierwsza pobrana aplikacja, poland_xxx.apk jest wykrywana przez 13 z 44 silników antywirusowych, o tyle drugi pobierany plik pozostaje dla nich całkowicie niewinny. file.apk, bo tak się nazywa, nie wyświetla już użytkownikowi żadnych powiadomień, za to w tle komunikuje się z serwerem C&C.  Przekazuje do centrali kod sieci, w której znajduje się telefon oraz kod kraju. W zamian może otrzymać trzy rodzaje komend: sendsms, sleep oraz saveid. Dzięki nim serwer C&C może poprosić telefon o wysłanie dowolnego SMSa pod dowolny numer, a aplikacja zadba o to, by uruchamiać się przy każdym włączeniu telefonu.

Wynik analizy VirusTotal (źródło: CERT.PL)

Jak uniknąć problemów

Recepta na brak zaskoczenia przy przeglądaniu rachunku od operatora jest prosta – nie należy instalować nieznanego oprogramowania. Jeśli w trakcie przeglądania internetu nagle pojawiają się nam ekrany po rosyjsku (lub inne, których się nie spodziewamy) – najlepiej nie wybierać żadnych dostępnych opcji (by przez przypadek nie zainstalować programu) i uruchomić ponownie telefon. Na szczęście w zidentyfikowanych do tej pory przypadkach do uruchomienia złośliwej aplikacji na telefonie użytkownika niezbędna jest zgoda samego zainteresowanego – wystarczy jej nie udzielić.