Niebezpieczny trojan w oficjalnej aktualizacji Androida!

Niebezpieczny trojan w oficjalnej aktualizacji Androida!

Niebezpieczny trojan w oficjalnej aktualizacji Androida!
Źródło zdjęć: © Gerwin Sturm / Flickr / CC
30.09.2015 09:22, aktualizacja: 30.09.2015 10:40

Zazwyczaj cyberprzestępcy używają dość trywialnej procedury, aby zainfekować urządzenia mobilne z Androidem — zmuszają swoje ofiary do samodzielnej instalacji złośliwych aplikacji. Ale nie tylko. Analitycy bezpieczeństwa rejestrują przypadki trojanów dla Androida, które są instalowane na urządzeniach jako aplikacje systemowe, dokonujące złośliwej aktywności bez wiedzy użytkownika. Ostatnio specjaliści Doctor Web zarejestrowali kolejny incydent tego typu, wywołany przez Android.Backdoor.114.

Android.Backdoor.114.origin jest znany już od dłuższego czasu — pierwszy raz ten trojan pojawił się ponad rok temu. Od tej pory wciąż stanowi wielkie zagrożenie dla użytkowników systemu Android, głównie dlatego, że bywa wbudowany bezpośrednio w firmware urządzenia mobilnego. W rezultacie jego usunięcie stało się prawie niemożliwe z użyciem typowych narzędzi. Aby uwolnić się od złośliwego programu, użytkownik musi uzyskać uprawnienia root, co może być trudne (lub nawet niebezpieczne) do zrealizowania. Inną drogą jest ponowna instalacja systemu operacyjnego, jednakże to może prowadzić do trwałej utraty wszystkich danych, które nie zostały zachowane w kopiach zapasowych.

We wrześniu doszło do nowej infekcji wywołanej przez Android.Backdoor.114.origin. Właściciele Oysters T104 HVi 3G stali się ofiarami złośliwej aktywności tego backdoora — na ich urządzeniach malware ukrywało się w preinstalowanej aplikacji GoogleQuickSearchBox.apk. Mimo że producent został powiadomiony o problemie, do dziś oficjalna, dostępna do pobrania, wersja firmware nie przeszła żadnych zmian i wciąż zawiera w sobie backdoora.

Android.Backdoor.114.origin pozyskuje i wysyła na serwer kontrolno-zarządzający informacje o zainfekowanym urządzeniu. W zależności od modyfikacji potrafi wysyłać cyberprzestępcom następujące dane:

• Unikalny identyfikator zainfekowanego urządzenia
• Adres MAC karty Bluetooth
• Rodzaj zainfekowanego urządzenia (smartfon lub tablet)
• Parametry z pliku konfiguracyjnego
• Adres MAC
• IMSI
• Wersję złośliwej aplikacji
• Wersję systemu operacyjnego
• Wersję API urządzenia
• Rodzaj połączenia sieciowego
• Nazwę pakietu aplikacji
• ID kraju
• Rozdzielczość ekranu
• Nazwę producenta urządzenia
• Nazwę modelu
• Ilość zajętego miejsca na karcie SD
• Ilość wolnego miejsca na karcie SD
• Ilość zajętego miejsca w pamięci wewnętrznej
• Ilość wolnego miejsca w pamięci wewnętrznej
• Listę aplikacji zainstalowanych w folderze systemowym
• Listę aplikacji zainstalowanych przez użytkownika

Jednak głównym celem Android.Backdoor.114.origin jest skryte ładowanie, instalowanie i usuwanie aplikacji po otrzymaniu komendy z serwera kontrolno-zarządzającego. Co więcej, trojan potrafi aktywować wyłączoną opcję instalowania aplikacji z niepewnych źródeł. W ten sposób, nawet gdy użytkownik stosuje się do zalecanych reguł bezpieczeństwa, backdoor potrafi zmodyfikować ustawienia w celu instalacji programów reklamowych oraz niechcianych i niebezpiecznych aplikacji.

Analitycy bezpieczeństwa zalecają użytkownikom systemu Android przeprowadzanie okresowego skanowania antywirusowego swoich urządzeń pod kątem znanych złośliwych programów. Jeśli trojan lub inny złośliwy program zostanie wykryty w firmware, zaleca się skontaktowanie z producentem urządzenia w celu uzyskania poprawionego obrazu systemu operacyjnego, ponieważ w większości przypadków, usunięcie takiego malware z użyciem wbudowanych narzędzi (włączając w to oprogramowanie antywirusowe) jest niemożliwe.

Polecamy w wydaniu internetowym chip.pl: Android 6.0 - co nowego w Marshmallow?

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (33)