Distribuição
Este artigo aborda questões sobre o Trojan-SMS.AndroidOS.Podec, versão 1.23 (a versão foi identificada a partir de análise de seu código). As somas de hash são:
72ADCF52448B2F7BC8CADA8AF8657EEB
0D5708158B8782F115670BD51833AC5C
Vale ressaltar que esta versão do Trojan circula na Rússia e nos países vizinhos.
País Número de tentativas de infectar usuários únicos
Rússia 3666
Cazaquistão 339
Ucrânia 305
Belarus 70
Quirguistão 23
O número de infecções ao longo do tempo:
Número de tentativas de infectar usuários únicos
Fontes de Infecção
De acordo com as estatísticas recolhidas com a ajuda do Kaspersky Security Network, as principais fontes a partir de onde esse trojan se propaga, são vários domínios com imposição de nomes (Apk-downlad3.ru, minergamevip.com, etc.), bem como os servidores da popular rede social russa VKontakte (VK, vk.com), que são usados para armazenar o conteúdo dos usuários.
Gráfico de Infecção de Arquivos
Podemos observar, que na grande maioria dos casos, a infecção é a fonte dos servidores da rede social. Infelizmente, o sistema de armazenamento de arquivos de VK é anônimo, então não há nenhuma maneira de analisar a forma como o malware emerge dele. No entanto, novas pesquisas identificaram uma série de comunidades que tem a capacidade de distribuir Trojan-SMS.AndroidOS.Podec nesta rede social:
http://vk.com/vzlomannye_igry_dlya_android
http://vk.com/skachat_minecraft_0_9_0_android
http://vk.com/minecraft_pe_0_9
http://vk.com/vzlom_igry_android_mody
http://vk.com/igry_android_cheats
http://vk.com/android_mody_apk
http://vk.com/novye_igry_na_android
http://vk.com/skachat_hill_climb_racing_bpan
http://vk.com/na_android_igry
- Os nomes russos destes grupos referem-se ao cracking de games para Android, de alguma forma);
- Todos os grupos listados aqui, foram preenchidos com conteúdo semelhante: imagens, links e mensagens.
Cada grupo envolvido é de cerca de um ou mais cracking de games. Os cybercriminosos parecem estar esperando que as potenciais vítimas sejam atraídos pela chance de ter acesso gratuito ao conteúdo, que normalmente é pago para ser utilizado. Além do mais, quase todas as mensagens nos murais dos grupos são links que levam a sites que, supostamente, contém jogos e aplicativos do Android. O mesmo é verdadeiro para a seção de "links". Na realidade, o único propósito desses sites era espalhar as mais diferentes versões de Trojan-SMS.AndroidOS.Podec.
Grupos na Social Network com Designs Visuais Semelhantes
Estes grupos têm muitos elementos em comum: a maneira pela qual eles são gerenciados e projetados (por exemplo, usando palavras-chave no lugar de descrições, uma abundância de simples mensagens de ampla linguagem, característica dos bots, etc.), os links que hospedam sites falsos. Isto tudo sugere que especialistas em Black SEO (Search Engine Optimization), estavam envolvidos no processo de distribuição do Trojan. As práticas acima ajudam a trazer links para os recursos maliciosos (sites e grupos) para mais perto do topo dos resultados de busca, atraindo ainda mais visitantes.
Todas essas comunidades "clone" tem o mesmo administrador, que é um utilizador VK identificado como 'kminetti'. Essas comunidades também são anunciadas na página pessoal do usuário. Além disso, a conta do usuário foi criada no dia 12 de outubro de 2011; emno ano de 2012, o mural de hospedagem da conta começou com links para sites e comunidades, espalhando aplicativos maliciosos para dispositivos móveis.
Processo de Infecção
A amostra do Trojan móvel que se tornou disponível para os analistas da Kaspersky Lab, se disfarça como um aplicativo popular, 'Minecraft Pocket Edition'. O arquivo tem 688 Kbyte de tamanho, o que pode ser uma vantagem aos olhos dos usuários inexperientes com um lento e/ ou caro acesso à Internet. A aplicação oficial de Minecraft possui de 10 a 13 MB de tamanho. Quando lançado, o aplicativo pede privilégios de administrador do dispositivo. Esta etapa garante que nem o usuário e nem uma solução de segurança pode, posteriormente, eliminar o Trojan em questão. Se o usuário rejeitar o pedido, o Trojan continua repetindo esse mesmo procedimento até que o privilégio seja concedido. Este processo, efetivamente, bloqueia o uso normal do dispositivo.
Solicitação de Escalonamento de Privilégios
Quando Trojan-SMS.AndroidOS.Podec recebe a solicitação de escalonamento de privilégios, o app Minecraft legítimo é baixado a partir de um recurso de terceiros e instalado no cartão SD. Esse comportamento segue as instruções fornecidas no arquivo de configuração, que vem junto com o cavalo de Tróia; o mesmo arquivo especifica o link para o arquivo APK legítimo. No entanto, o arquivo de configuração nem sempre contêm um link para o aplicativo; neste caso, o cavalo de Tróia simplesmente é capaz de parar quaisquer atividades observáveis pelo usuário, depois que recebe o escalonamento de privilégios solicitado.
Proteção Contra a Análise
Os cybercriminosos, aparentemente, investiram tempo, seriedade e esforço em desenvolver Trojan-SMS.AndroidOS.Podec, como demonstram as técnicas utilizadas para impedir a análise do código. Além de introduzir "garbage classes" e "obfuscation" no código, os cybercriminosos utilizaram um protetor de código legítimo que o torna bastante difícil para ter acesso ao código-fonte do aplicativo Android. Este protetor oferece ferramentas de controle de integridade de código, esconde chamadas de todos os métodos e manipulações que envolvem campos de classe, além de criptografar todas as strings.
Gerenciamento do Trojan
As atividades de Trojan-SMS.AndroidOS.Podec são gerenciadas usando servidores C & C. O sistema funciona assim. Primeiro, os contatos do trojan são feitos com um servidor C & C através de um protocolo HTTP, e a partir daí, ele aguarda um SMS com as devidas instruções. Trojan-SMS.AndroidOS.Podec tem uma lista de backup de C & C (nomes de domínio), isto é, um servidor C & C específico é escolhido a partir da lista a seguir envolvendo um algoritmo aleatório. Se não houver resposta a partir do servidor dentro de um período de 3 dias, um C & C a partir da lista de suporte é utilizado. Este servidor implementa um algoritmo adaptativo para se conectar a um servidor C & C, que funciona mesmo se os nomes de domínio específicos estiverem bloqueados. Além disso, os nomes de domínio C & C e todo o tráfego (tanto HTTM e SMS), são criptografados com o algoritmo de criptografia AES no modo CBC/NoPadding com uma chave de 128 bits. A chave de criptografia e o vetor de inicialização são originalmente localizado nas arquivo fXUt474y1mSeuULsg.kEaS (o nome desse arquivo modifica de versão para versão), localizado na pasta "assets" da app source. A maior parte do conteúdo do arquivo é "junk"; informações úteis estão contido entre as tags, aparecendo na forma de [a]string[/a].
A partir dos strings entre as tags, os parâmetros de criptografia necessários (a chave e o vetor) são obtidos de forma criptografada. Em seguida, eles são decifrados pela simples substituição de um substring com os outros. Após decifrar os comandos que formam um documento XML, as tags representam comandos específicos e os conteúdos das tags são parâmetros de comando. Abaixo está a lista de capacidades do Trojan-SMS.AndroidOS.Podec, implementadas através de comandos:
- Coletar informações sobre o dispositivo (fornecedor de telefone celular serviço, IMEI, número de telefone, idioma da interface, país e cidade, etc.)
- Coletar uma lista de aplicativos instalados.
- Receber informações sobre USSD.
- Enviar mensagens SMS.
- Definir um filtro nas mensagens recebidas.
- Definir filtros em chamadas recebidas e efetuadas.
- Exibir anúncios para o usuário (exibir uma notificação em separado, abrir uma página de propaganda, iniciar um diálogo, e outras maneiras de mostrar o conteúdo comercial);
- Excluir mensagens, conforme especificado.
- Excluir registros de chamadas, conforme especificado;
- Publicar o código fonte HTML de uma página específica para o servidor dos cybercriminosos.
Saiba Mais:
[1] Secure List http://securelist.com/analysis/publi...asses-captcha/