O trojan não possui a capacidade de evitar a apresentação de quaiss permissões ele precisa para ser executado. Fonte: kaspersky Lab.
A Kaspersky identificou que o programa não é detectado por técnicas de análises padrão para malware Android, porque ele age contra essas ações. Por exemplo, o 0bad.a consegue explorar o erro no software DEX2JAR para complicar a análise estatística de trojan, e um erro na manipulação do arquivo AndroidManifest.xml para que ele consiga continuar funcionando nos dispositivos sem precisar seguir os padrões do Google. Isso causa problemas para a análise dinâmica do código. Outra falha que é explorada no sistema operacional Android para permitir que o 0bad.a possua privilégios de administrador estendido no dispositivo sem aparecer na lista de aplicações que possuem esse privilégios. Isso torna o 0bad.a muito difícil de detectar em um smartphone.
Ainda de acordo com a análise da Kaspersky Lab, todos os métodos externos são chamados indiretamente através da API Reflection do Java. Isso pode reduzir a análise estática ja que iria aparecer que o 0bad.a não está chamando nada no aparelho. As strings podem sofrer descriptografia em tempo de execução, enquanto os endereços de servidores de comando e controle (C&C - Command and Control) requere uma conexão com a Internet para acessar (por exemplo) uma página do Facebook, extrair uma chave de descriptografia e utilizar a mesma para descriptografar o endereço.
Uma vez que a Kaspersky Lab conseguiu superar as várias defesas, o malware 0bad.a foi exposto como uma aplicação que de início pede por privilégios de administração no dispositivo, informando que precisa desse controle quando a proteção de tela é ativada no dispositivo. O mesmo parece utilizar seus privilégios quando conectado a uma rede Wi-Fi ou Bluetooth livre, apagando a tela do aparelho por 10 segundos e tentando criar cópias de si mesmo para outros dispositivos que encontra na mesma rede acessada. O 0bad.a também testa a capacidade de adquirir privilégios de superusuário e enviar essa informação - junto com detalhes sobre se ele possui privilégios administrativos no sistema, acrescido de endereço MAC para Bluetooth, número e operadora do telefone, IMEI, saldo da conta e hora local - para o servidor do tipo C&C em androfox.com na forma de um objeto JSON criptografado.
O trojan então pode ser comandado pelo servidor C&C para executar um número de tarefas. Dentre elas destacamos o envio de mensagens de texto, enviar ping para determinados endereços, baixar arquivos do servidor, relatar sobre as aplicações instaladas ou os dados de conexão do usuário, abrir um shell remoto, ou ainda, enviar arquivos para todos os dispositivos Bluetooth detectados na rede em uso. Outro grupo de comandos podem ser transmitidos pela Internet como também serem recebidos através de mensagens SMS. Os comandos SMS incluem a capacidade de fazer o trojan se conectar imediatamente com o servidor C&C, se conectar para um novo servidor C&C, ou mesmo apagar tarefas de sua base de dados. Esses comandos poderiam ser úteis caso de uma nova tentativa de tomar o controle ou esconder a rede do trojan.
Evolução
A Kaspersky Lab não acredita que o Backdoor.0bad.a está largamente difundido, sendo identificado em apenas 0,15 por cento de todas as tentativas de infecção do malware em dispositivos móveis. Porém , tentar compará-lo com malware para Windows em como ele explora tantas vulnerabilidades é muito complexo, diferente de malware mais tradicionais. Isso sugere que nós estamos passando por uma fase evolucionária de malware para Android.
Resta agora saber quantos derivados dessa pequena entidade os criminosos serão capazes de criar, para dificultar ainda mais sua retirada dos aparelhos embarcados com sistema operacional Android, e ainda por cima, aumentar sua difusão entre os aparelhos existentes no mundo. Acredito que facilitando ainda mais a infecção, seria questão de dias para o 0bad.a (e seus dertivados) se tornarem verdadeiras pragas entre os atuais dispositivos móveis em funcionamento no mundo.
Saiba Mais:
- Heise Online: "Sophisticated Android Trojan" identified (em Inglês)