Самый сложный вредонос под Android

Коллеги из вирлаба написали статью о бэкдоре, с возможностями котого вы должны ознакомиться: http://www.securelist.com/ru/blog/207768863/Samyy_slozhnyy_Android_troyanets. В своей же статье я покажу, чем грозит заражение этим вредоносом. Но для нач...

Screenshot_2013-05-29-21-23-58Коллеги из вирлаба написали статью о бэкдоре, с возможностями котого вы должны ознакомиться: http://www.securelist.com/ru/blog/207768863/Samyy_slozhnyy_Android_troyanets. В своей же статье я покажу, чем грозит заражение этим вредоносом.

Но для начала подобьем список особенностей и возможностей бэкдора:

  1. Все строки DEX файла зашифрованы, а код обфусцирован
  2. Создатели нашли ошибку в утилите dex2jar, которая обычно используется аналитиками для конвертирования APK-файла в JAR для анализа. Обнаруженная уязвимость нарушает процесс конвертации Dalvik байт-кода в Java байт-код, что в итоге затрудняет статический анализ
  3. Создатели нашли ошибку в Android, связанную с обработкой AndroidManifest.xml. Они модифицировали AndroidManifest.xml таким образом, что тот не соответствовал заданному Google стандарту, но при этом, благодаря найденной уязвимости, правильно обрабатывался на смартфоне. В результате динамический анализ троянца крайне затруднен
  4. Создатели нашли еще одну неизвестную ранее ошибку в Android, которая позволяет вредоносному приложению пользоваться расширенными правами DeviceAdministrator, но при этом отсутствовать в списке приложений, обладающих такими правами. В итоге удалить штатно приложение уже нельзя:

  5. Вредонос не имеет интерфейса и работает в фоновом режиме
  6. Отправляет SMS на премиум-номера. Ну еще бы
  7. Скачивает и устанавливает на устройство другие приложения
  8. Рассылает скаченные приложения по Bluetooth
  9. Выполняет удаленные команды
  10. Для расшифровки собственных важных функций использует ключ, который не зашит в него, а находится в коде страницы facebook.com. То есть без Интернета он не будет проявлять вредоносной активности
  11. При обнаружении подключения к WiFi или по Bluetooth он может на 10 секунд заблокировать экран и выполнить свои действия. Выключение экрана ему нужно, чтобы пользователь в этот момент ему не помешал
  12. Запрашивает права root
  13. Включает WiFi при выключении экрана, если тот был выключен
  14. Если аппарат не подключен к WiFi, то, при наличии прав root, ищет вокруг незапароленные точки и подключается к ним, чтобы через них подключиться к серверам хозяина
  15. Передает некоторые данные хозяину (IMEI, номер телефона, баланс и другие)
  16. Управляется как через Интернет, заходя на сервер хозяина, так и по SMS (ведь у хозяина уже есть номер телефона)

Впечатляет? Тогда под кат, где я продемонстрирую несколько скриншотов.

Для исследования я взял Backdoor.AndroidOS.Obad.a с md5 E1064BFD836E4C895B569B2DE4700284. Вредонос не работает на эмуляторе. Возможно его удалось бы запустить после модификции эмулятора через командную строку, но мне проще использовать реальное устройство. Внимание! Не повторяйте такого!

Приложение весит 83 килобайта. Установку я сделаю с принудительной проверкой приложения антивирусом от Google:

2013-05-29 20.49.14 2013-05-29 20.46.59

Я не думаю, что кто-то ждал, что вредонос будет обнаружен. Ну ладно. Т.к. установка происходит через штатный инсталлятор, то все запросы показаны. В том числе те, что стоят денег. Ах, если бы читали хотябы треть пользователей.

2013-05-29 20.50.28

Для проверки, заражена система или нет я буду использовать Kaspersky Mobile Security. Не потому что это реклама или что-то подобное. Просто наш продукт заведомо видит и детектирует угрозу. Удалить он все равно ее не сможет после того, как я разрешу использование функций Device Administrator. Вот как детектируется вредонос:

2013-05-29 20.56.03

Теперь самое опасное - запуск. Предварительно я удалю пароль для своей WiFi точки. SIM карта была извлечена еще раньше.

Screenshot_2013-05-29-20-59-45[1] Screenshot_2013-05-29-20-59-55[1]

Я запретил использование root прав. Тут и без них достаточно "счастья" будет. На заднем плане идет обратный отсчет до появления экрана предоставление прав администратора устройства. Я предоставил эти права. Всё. Если ваш аппарт не рутован, то вы не сможете удалить это приложение. Вы уже видели, что кнопки удаления недоступны. Но даже если вызвать удаление иным образом, его нельзя завершить из-за уязвимости в Device Admin. Сейчас я попытаюсь вызвать удаление из Kaspersky Mobile Security.

Screenshot_2013-05-29-21-08-03 Screenshot_2013-05-29-21-08-13 Screenshot_2013-05-29-21-08-23 Screenshot_2013-05-29-21-08-28 Screenshot_2013-05-29-21-08-36 Screenshot_2013-05-29-21-09-01

Как вы можете убедиться, в списке DA вредоноса действительно не видно. А значит права администратора системы забрать у него нельзя. Так что если вы не уверены в своих знаниях и опыте, лучше используйте проверенный антивирус. Любой. Главное, чтобы у него была заслуженная великолепная репутация. Как специалист, я бы рекомендовал антивирусы отечественных производителей, т.к. в России пока еще не забивают на реальные исследования и тестирования.

Но это было отступление. Давайже же удалять вредоноса! Благо прав root у него нет, а возможность предоставить их проверенным средствам - есть. Все, используемое мною для нейтрализации угрозы имеет права root. Я не буду показывать этого, но после каждой попытки я проверяю, что вредонос остался/удален сразу двумя способами. Сначала я нахожу его в списке приложений (кстати, скриншот этого списка в шапке статьи), затем проверяю нашим ативирусом. Вердикт антивируса приоритетнее; я знаю как работает он и знаю, как работает система.

Начну с неспециализированного приложения - с популярного файлового менеджера ES Explorer.

Screenshot_2013-05-29-21-19-00 Screenshot_2013-05-29-21-19-35 Screenshot_2013-05-29-21-19-53

Как видим, он не справился. Тогда попытаемся просто удалить вредоноса руками. Благо знаем имя пакета.

Screenshot_2013-05-29-21-27-53 Screenshot_2013-05-29-21-28-01 Screenshot_2013-05-29-21-29-00 Screenshot_2013-05-29-21-29-03

Есть! Но получилось, что специальный инструмент в ES Explorer не справился, а "ручной режим" справился. Делаем вывод - автомат в нем бесполезен.

Второе приложение - специализированная утилита для удаления мусора, в том числе приложений - SD Maid.

 

Screenshot_2013-05-29-21-42-57 Screenshot_2013-05-29-21-43-17 Screenshot_2013-05-29-21-43-29 Screenshot_2013-05-29-21-43-34

Вполне ожидаемо приложение видит вредоноса, но удалить не сумело. При этом сделало какое-то невнятное заявление о скрытии системного приложения. Ну, раз и тут автомат не справился, переходим на ручник.

Screenshot_2013-05-29-21-48-52

Но здесь нет папки вредоноса. Очевидно, что ручник не приспособлен вообще для серьезной работы, только для очистки мусора.

Хорошо, раз в режиме "руками" мы смогли снести заразу, попробуем сделать этот из adb shell, как меня попросили в Juick. Собственно, тут ждать проблем не приходится.

root@umts_spyder:/data/app # rm com.android.system.admin-1.apk

rm com.android.system.admin-1.apk

И вредоноса нет. Теперь остается просто подчистить хвосты. Можно даже штатно.

Screenshot_2013-05-29-22-06-04

Следующим будет приложение RootAppDelete. Выбираем удаление пользовательского ПО и...

Screenshot_2013-05-29-22-10-28 Screenshot_2013-05-29-22-10-40 Screenshot_2013-05-29-21-08-28 Screenshot_2013-05-29-21-08-36

Эта утилита не использует прав root для удаления пользовательских приложений, а вызывает штатный анисталлер. В итоге удалить бекдора им нельзя.

Ну и опробуем то, что не может вызывать сомнений - Titianium Backup.

Screenshot_2013-05-29-22-16-47 Screenshot_2013-05-29-22-16-57 Screenshot_2013-05-29-22-17-03 Screenshot_2013-05-29-22-17-10 Screenshot_2013-05-29-22-17-41

Как видно на последнем скриншоте, хвосты штатно зачистить все еще нельзя. Ну это не проблема. Перезагружаем смартфон и...

Screenshot_2013-05-29-22-06-04

Да, я использовал сделаный ранее скриншот, но сути не меняет :)

Итак, мы столкнулись с вредоносом, который хоть и можно обезвредить, но это просто не под силу подавляющему большинству пользователей. Более того, этот вредонос защищается от удаления только штатными возможностями Android и при наличии root не использует эти права для самозащиты. Но теперь, вооружившись знанием о подобных вредоносах, вы сможете вынести их руками. Если, конечно, ваш аппарат рутован. В противном случае вам придется сделать сброс.

P.S. После удаления вредоноса и вставки SIM я обнаружил, что отключен мобильный интернет. Не исключаю, что это поведение Android или даже прошивки от Motorola. Но может быть и подлянка вредоноса.

Прокомментировать в Telegram-чате

Фото автораАвтор: Umnik

Поговорить?


Уже наговорили:
Аватар автораgmelikov:
Use your brain, people

Столько рекламы касперского я ещё не видел)
Аватар автораTeutonick:
Так где его словить то можно я не понял?
Аватар автораUmnik:
Конкретно этот совсем не популярен. По косвенным признакам предполагаем, что была спам-рассылка с линками на него. Но очевидно, что он лишь первый.
Аватар автораvortex:
Мне было интересно почитать...
Аватар автораAville:
Молодцы! "Рука руку моет"
Аватар автораshh:
Самое простое решение - запрет контента. Особенно мамам и слаборазбирающимся товарищам.
Аватар автораVictor:
Добрый вечер!
Выможете прислать мне сэмпл этого вируса в архиме с паролем 123 или ссылку, откуда его можно скачать? Очень хочется в нем поковыряться)
Аватар автораМаргарита:
вот блин.... я его словила... и первое что он сделал, подписал меня на платную услугу... блин блин..... не знаю смогу я по вашему описанию избавиться от него.
Где и как я могу скачать Kaspersky Mobile Security?
Аватар автораМаргарита:
ураааа... касперский сам его удалил и вернул заводские настройки!!!
Аватар автораYarik:
Получил рута и удалил (но нашел касперский)
Аватар автораАйдар:
Ребят, помогите пожалуйста очень прошу. Короче я скачал игру, а получилось что мне скачался приложение "Установка". И он просил чтоб я назначил его администратором. Ну я принял его. Я заметил что он включает мне вай фай и заходит в браузер пока телефон выключен. Я хотел убрать его администратором. Но как только я отключил его от админа он сразу начал просить чтобы я его включил и это окно постоянно начало появляется, а кнопка отмена просто не нажималась. Вот я хочу его удалить хоть как нибудь но нигде не могу найти сайт Где говорится о нем :(

Читайте нас где удобно

Ещё на эту тему было

Для тех, кто долистал

Ай-ти шуточка бонусом. Если зайти далеко-далеко в лес и приложить андроидофон к уху, то можно услышать, как он жрет батарейку.

Предупреждение о куках Всё ясно
Clicky