Ранее мы видели, как права суперпользователя используют рекламные приложения, такие как Leech, Guerrilla, Ztorg. Тогда как, например, для банковских зловредов атаки с использованием root-привилегий нетипичны, ведь деньги можно украсть множеством способов, не требующих повышенных прав. Но в начале февраля 2016 года «Лаборатория Касперского» обнаружила банковский троянец Trojan-Banker.AndroidOS.Tordow.a, создатели которого решили, что root-привилегии будут полезны. Мы следили за развитием этого зловреда и установили, что возможности Tordow значительно превзошли функциональность большинства обнаруженных ранее банковских зловредов и это позволило злоумышленникам использовать новые виды атак.
Проникновение
Заражение Tordow начинается с установки одного из популярных приложений, например, «ВКонтакте», «ДругВокруг», «Покемон Go», «Телеграм», «Одноклассники» или «Subway Surf». В данном случае речь идет не об оригинальных приложениях, а об их копиях, распространяемых вне официального магазина Google Play. Вирусописатели скачивают легитимные приложения, разбирают их и добавляют новый код и новые файлы.
Добавленный в легитимное приложение код
Провести такую операцию может любой человек, обладающий небольшими знаниями в области разработки под Android. В результате получается новое приложение, которое очень похоже на оригинальное и выполняет заявленные легитимные функции, но при этом обладает необходимой для злоумышленников вредоносной функциональностью.
Принцип работы
В исследуемом случае внедренный в легитимное приложение код расшифровывает файл, добавленный злоумышленниками в ресурсы приложения, и запускает его.
Запущенный файл обращается к серверу злоумышленников и скачивает основную часть Tordow, которая содержит ссылки на скачивание еще нескольких файлов – эксплойта для получения рута, новых версий зловреда и так далее. Количество ссылок может меняться в зависимости от планов злоумышленников, более того, каждый скачанный файл может дополнительно загрузить с сервера, расшифровать и запустить новые компоненты. В результате на зараженное устройство загружаются несколько модулей зловреда, их количество и функциональность также зависят от пожеланий хозяев Tordow. Так или иначе, у злоумышленников появляется возможность удаленно управлять устройством посредством отправки команд с управляющего сервера.
В итоге киберпреступники получают полный набор функций для кражи денег пользователя методами, уже ставшими традиционными для мобильных банковских троянцев и вымогателей. В функциональность вредоносного приложения входят:
- Отправка, кража, удаление SMS.
- Запись, перенаправление, блокирование звонков.
- Проверка баланса.
- Кража контактов.
- Осуществление звонков.
- Изменение управляющего сервера.
- Скачивание и запуск файлов.
- Установка и удаление приложений.
- Блокировка устройства с показом веб-страницы, заданной сервером злоумышленников.
- Составление и передача злоумышленникам списка содержащихся на устройстве файлов; отправка, переименование любых файлов.
- Перезагрузка телефона.
Права суперпользователя
Помимо скачивания модулей собственно банковского троянца, Tordow (в рамках прописанной цепочки загрузки модулей) скачивает еще и популярный пакет эксплойтов для получения прав root, что предоставляет зловреду новый вектор атаки и уникальные возможности.
Во-первых, троянец устанавливает один из скачанных модулей в системную папку, что делает его трудноудаляемым.
Во-вторых, при помощи прав суперпользователя злоумышленники похищают базы данных дефолтного браузера Android и браузера Google Chrome, если он установлен.
Код отправки на сервер данных из браузеров
В таких базах содержатся все логины и пароли, сохраненные пользователем в браузере, история посещений, файлы cookie и даже иногда сохраненные данные банковских карт.
Логин и пароль от определенного сайта в базе данных браузера
Таким образом злоумышленники могут получить доступ ко множеству аккаунтов жертвы на различных сайтах.
И в-третьих, права суперпользователя позволяют похитить практически любой файл в системе – от фотографий и документов до файлов с данными аккаунтов мобильных приложений.
Результатом таких атак может стать хищение огромного количества важнейших данных пользователя. Мы рекомендуем не устанавливать приложения из неофициальных источников и использовать антивирусные решения для защиты своего Android-устройства.
MD5
06CBA6FF7E9BCF2C61EF2DD8B5E73A30
3C1B589DA2F8DB972E358DD96F9B54B0
5F5906017C6F7D7DE5BD50440969E532
8E00657A004F3040E850CA361DE64D64
ACF114BB47A624438ADA26B8D449C06D
Банкер, который может украсть все
Елена
Спасибо за актуальную информацию!