Pronađen trojanac u firmwareu nekih Android uređaja

Mobilni telefoni, 19.11.2014, 14:46 PM

Istraživači ruske firme Doctor Web otkrili su novog trojanca ubačenog u firmware brojnih Android uređaja. Ovaj maliciozni program nazvan Android.Becu.1.origin, preuzima, instalira i uklanja programe bez odobrenja korisnika i blokira SMS poruke koje dolaze sa određenih brojeva.

Malver sadrži nekoliko modula koji imaju blisku interakciju. Fajl Cube_CJIA01.apk je glavni modul ovog malvera koji boravi u sistemskom direktorijumu i digitalno je potpisan od strane operativnog sistema, što mu pruža sve privilegije koje su mu neophodne da bi delovao bez pristanka korisnika. S obzirom da je deo firmwarea, program se veoma teško uklanja sa uređaja konvencionalnim metodama.

Malver stupa u akciju čim se inficirani uređaj uključi ili primi nova SMS poruka. Android.Becu.1.origin u skladu sa svojim konfiguracionim fajlom preuzima jedan šifrovani paket sa udaljenog servera. Nakon dešifrovanja, dobijeni podaci se čuvaju u instalacionom direktorijumu malvera kao uac.apk fajl. Zatim se DexClassLoader koristi za učitavanje podataka u memoriju uređaja. Posle toga, malver pokreće drugu komponentu, uac.dex, koja je takođe sačuvana u direktorijumu. Ova dva modula nose glavni payload i omogućavaju malveru da krišom preuzima, instalira i uklanja aplikacije kada dobije komandu sa servera da to uradi.

Kada su moduli uspešno aktivirani, maliciozni program proverava da li je treći modul dostupan u sistemu. Ovaj modul se čuva u fajlu com.zgs.ga.pack. Ako ga ne pronađe, modul se preuzima i instalira na uređaju. Potom registruje smart telefon ili tablet na udaljeni server prosleđujući napadačima informacije o aktivnim kopijama malvera. Ako bi korisnik uklonio jedan od modula malvera, glavni fajl programa bi ga ponovo instalirao.

Osim glavnih zadataka, nevidljive instalacije i uklanjanja drugih programa, malver može u potpunosti blokirati dolazne SMS poruke sa određenih brojeva.

Do sada su istraživači Doctor Weba otkrili maliciozni kod na mnogim uglavnom jeftinijim modelima Android uređaja. Među njima su UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000 i ALSP H9500. Firmware inficiran malverom Android.Becu.1.origin su ili preuzeli sami korisnici ili su instalirali dobavljači smart telefona i tableta koji su umešani u ovo.

S obzirom da je Android.Becu.1.origin ugrađen u operativni sistem, potpuno uklanjanje standardnim metodama je veoma teško, pa je “zamrzavanje” malvera iz menija za upravljanje aplikacijama najlakši i najbezbedniji način da se izađe na kraj sa malverom. Na taj način, maliciozna aplikacija će postati neaktivna i neće moći da radi. Nakon toga potrebno je ukloniti sporedne komponente (com.system.outapi i com.zgs.ga.pack) koje su možda ranije instalirane.

Iskusniji korisnici glavnu komponentu malvera mogu ukloniti ručno, na uređaju sa omogućenim administratorskim nalogom ili sa firmwareom koji je bez malvera, što će za posledicu imati gubitak svih sačuvanih podataka. S obzirom na potencijalnu štetu koju mogu izazvati ove procedure neophodno je pre toga napraviti kopiju važnih podataka.