Krysanec: Android трояенц, маскиран като обикновено приложение

Next story

Един от най-важните съвети, които можем да дадем на потребителите на мобилната операционна система Android е да се въздържат от свалянето на приложения от подозрителни източници и да се придържат към официалния магазин Google Play. И макар че и там, дори и само от дъжд на вятър, могат да бъдат открити вируси, то Google Play е относително добре контролиран за заплахи, благодарение на Google Bouncer. Или поне е доста по-добре контролиран от алтернативните магазини за приложения. Наскоро открихме интересен вирус за Android, който може да бъде използван като добър пример за казаното по-горе. Открихме Remote Access Trojan, който се маскира като напълно обикновено и нормално приложение за Android. Да видим обаче как действа всъщност- как се разпространява, какво прави и каква е връзката му със скорошните заглавия на медиите.

Разпространение

Един от най-често използваните методи з разпространение на Android вируси е прикриването им като популярни „нормални“ приложения – от най-различни игри до някои доста по-безполезни програми за мобилни устройства. Доста често нормалната функция на приложението, за което се представя вирусът, е запазена, но с една добавка – зловредното действие на добавения и изпълняващият се във фона ѝ код. Един вид, класически троянец. Друг метод е разпространението на приложения, за които се твърди, че са кракнати версии на популярни платени приложения – затова и опасността е значително по-голяма във форуми и други подобни алтернативи на официално признатите магазини за мобилни приложения.

Конкретно в случая, троянецът, за който говорим (засичан от ESET с името Android/Spy.Krysanec) е засечен на заразено копие на приложението MobileBank (приложение за мобилно банкиране на руската Сбербанк), 3G Traffic Guard (приложение за мониторинг на употребата на мобилен интернет) и още няколко приложения. И сега внимание: сред списъка е дори и нашето решение за защита от вируси за Android ESET Mobile Security. Екосистемата на Android позволява доста ефективен метод за противодействие срещу подобни зловредни опити на киберпрестъпници – подписването на всяко приложени с дигитален сертификат на разработчика. Логично, маскираните варианти на Krysanec не разполагат с валидни сертификати. Няма нужда да казваме и, че не всички потребители въобще си правят труда, за да проучат дали приложенията, които инсталират на смартфоните и таблетите си, имат или нямат валидни сертификати. Това важи с особена сила за тези, които предпочитат да търсят приложения в съмнителни магазини, независимо дали търсят кракнати версии на платени приложения – или каквото и да било друго. Krysanec се разпространява през няколко канала, включително и класически платформи за споделяне на файлове (като Warez) и дори руска социална мрежа. Изображението по-долу показва акаунт, който е използван за хостване на троянеца, криещ се в обикновени приложения.

>

Действие

Заразените приложения съдържат Android версията на RAT (Remote Access Trojan), инструмент за отдалечен достъп, използван на най-различни операционни системи. В частност, вирусът Android/Spy.Krysanec може да събира информация от зарзеното устройство, да се свързва с команден сървър, да сваля и да стартира други приложения и свои собствени модули. А те му предоставят възможност да:

  • Снима изображения
  • Записва аудио през микрофона на устройството
  • Изпраща текущ местоположение на устройството по GPS
  • Изпраща списък с инсталирани приложения
  • Изпраща списък с осъществени телефонни обаждания
  • Изпраща всички контакти на телефона
  • Да изпраща SMS (обикновени или през WhatsApp)
  • И т.н., и т.н.

 

Връзката с новините

Интересен е и фактът, че част от семплите на вируса, които анализирахме, се свързвт с команден сървър, намиращ се на домейн, принадлежащ на доставчика на динамични DNS-и no-ip.com. No-IP попадна в новините, след като звеното за борба с киберпрестъпност на Microsoft буквално превзе 22 домейна на компанията, използвани за разпространение на вируси. В последствие обаче Microsoft се отказа от действия срещу No-IP. И накрая, вместо обобщение. Вирусите, предоставящи отдалечен достъп до Android устройства далеч не са толкова много, колкото тези, предоставящи подобни възможности за Windows устройства. Основното послание не е, че те ще станат тенденция или нещо такова. Основното послание е да се сваляте ESET Mobile Security (или което и да е друго приложение) само от проверени източници, като Google Play, eset.com/bg и store.centio.bg. И дори и оттам, внимавайте какво инсталирате!