Country not specified
Unknown website Share

Apps4all

Страна: -
Город: -
Был онлайн: -
О себе:
 
08-07-2016, 11:49
Apps4all

Первый вредоносный IRC-бот для Android

Мы видели уже немало зловредов для Android, но ребята из "Лаборатории Касперского" наткнулись на нечто весьма тревожное: первый IRC-бот для Android. Если кто не в курсе, IRC-бот – это инструмент, который обеспечивает автоматизированную работу внутри IRC-канала. Хотя во многих обстоятельствах они бывают очень полезны, IRC-боты часто используются с плохими намерениями, как в данном случае. Надо заметить, что в целом удаленные команды могут посылаться с помощью любых средств - SMS, веб-сервер и т.д. Злоумышленник просто выбрал IRC в качестве платформы для эксплойта.

После установки зловред маскируется под Madden NFL 12, казалось бы, заслуживающее доверия приложение. Однако это приложение содержит в себе три вредоносных компонента: корневой эксплойт (использующий Gingerbreak), SMS-троян и IRC-бот. Файлы извлекаются и сохраняются в директориях /data/data/com.android.bot/files как "header01.png", "footer01.png" и "border01.png" соответственно. Затем директории даются разрешения на чтение/запись/запуск.

IRC-BOT.png

Корневой эксплойт (header01.png) сначала запускается, чтобы получить root-доступ, что необходимо для работы SMS-трояна и IRC-бота. К счастью, используемый метод взлома, Gingerbreak, уже давно пропатчен, так что большинство устройств от этого не пострадают. Однако еще остались устройства, восприимчивые к Gingerbreak, поэтому уязвимость еще продолжает оставаться серьезной угрозой. Если на устройстве уже есть root на момент, когда эксплойт делает попытку запуститься, он запросит у пользователя получение прав Super User. Если ему будет отказано в доступе (а именно так и должно быть), приложение все равно попытается запуститься. Смысла в это нет, так как у него все равно не будет возможности двигаться дальше.

В случае, если зловред получит root-доступ, он запустит второй файл: SMS-троян (footer01.png). После запуска троян определит страну, в которой находится устройство, и отправит SMS сообщение на соответствующий премиум номер. Все возвращенные запросы с данного номера затем блокируются, так что пользователь находится в полном неведении относительно происходящего.

После этого IRC-бот соединяется с удаленным IRC-сервером (который, кстати, в данный момент лежит), используя случайный ник. Оттуда бот может получать любую коману, что дает злоумышленнику полный контроль над всей системой.

К счастью, если использовать лишь основные источники получения приложений - Android Market, Amazon Appstore, и Getjar – все должно быть в порядке, поскольку подобный тип зловредов, как правило, обитает на теневых сторонних рынках и на сайтах, которые распространяют пиратские приложения.

Хотя данный конкретный зловред, возможно, свое уже отжил, он показал, что зловреды для Android развиваются, становятся более сложными и, что самое главное, скрытными.

 
троян
Android
0 0 0

Чтобы оставлять комментарии вам необходимо зарегистрироваться