Мобильники атакуют!

Пользователи недорогих смартфонов на базе ОС Android ищут способы ускорить свой девайс, например, высвободить на нём память. Исходя из спроса на софт, который позволит работать смартфону чуть быстрее, рождается и предложение, куда входит и вредоносное ПО. Наряду с чистыми приложениями, в магазине Google Play появились приложения, которые лишь делают вид, что чистят систему.

Случаи, когда вредоносное ПО, работающее на PC, инфицирует мобильное устройство, нам были известны и ранее. Совсем другое дело – когда приложение, работающее на мобильном устройстве — смартфоне, умеет инфицировать PC.

22 января 2013 г. Лаборатории Касперского удалось обнаружить в Google Play следующее приложение:

Как видно, приложение имеет неплохую популярность. И ему ставят хорошие оценки:

Это приложение имеет брата-близнеца с точно такими же функциями, но c другим названием:

Что касается фантазии создателей приложения, в плане GUI-приложения она не пошла далеко.

После запуска приложение показывает все запущенные сервисы:

При этом перезапуская их:

На этом «полезная активность» завершается. И начинается самое интересное.

Наряду с большим выбором команд, выполняемых по указке владельца, приложение может выполнить следующий код:

Следует обратить внимание на название метода — Tools.UsbAutoAttack. Детально он выглядит так:

Исходя из этого кода, зловред с ресурса (он закодирован в начале класса) качает три файла:

Остаётся выяснить, куда приложение положит эти файлы. Для этого потребуется посмотреть, что делает метод DownloadFile:

Из этого куска кода следует то, что файлы будут выложены в корневую директорию SD-карты. Таким образом если подключить смартфон в режиме эмуляции USB-накопителя к PC, то система автоматически запустит

Еще интересно выяснить, что же внутри

Нам удалось загрузить его с сервера злоумышленника. svchosts.exe на самом деле — Backdoor.MSIL.Ssucl.a.

Мы замечали и детектировали похожие объекты начиная с первой половины 2012 года. Но тогда никакой связи с мобильными платформами не было.

Сам по себе Backdoor.MSIL.Ssucl.a не отличается сложностью, единственным привлекательным моментом в нём является использование свободно распространяемой библиотеки NAUDIO (http://naudio.codeplex.com).

Как видно из скриншота ниже, большая часть приложения — это и есть библиотека NAUDIO.

Попробуем разобраться, зачем использовать такую конструкцию.

Начнём с того, что посмотрим конструктор единственной формы:

Как видно на событие «приход данных» вызывается обработчик с функцией con_DataReceived.

Функция довольно обширная и предполагает обработку различных команд, поступающих от хозяина, но нас интересует обработка конкретной команды:

По этому коду видно, что при появлении команды RECORD_STR вызывается функция StartRec:

Далее обратим внимание на BeginMonitoring и BeginRecording.

В первом случае идёт настройка мониторинга записывающего аудиоустройства по умолчанию, для этого значение переменной recordingDevice выставляется равное нулю.

Следует отметить, что в Windows записывающим устройством по умолчанию является микрофон:

Как только микрофон уловил звуки, сразу же начинается запись в файл при помощи BeginRecording:

В программе предусмотрено шифрование файлов и отправка их хозяину:

Алгоритм шифрования

Загрузка любого файла на FTP хозяина

Отсюда берутся данные о том, куда подключаться и отправлять файлы

Итого. В сущности записать на флешку autorun.inf и PE-файл — один из наиболее тривиальных способов распространения зловреда. Записать то же самое при помощи смартфона и ждать подключения к PC — новый вектор атаки. В текущих версиях MS Windows автозапуск с переносных носителей информации отключен по умолчанию — но далеко не все пользователи перешли на современные версии ОС. В контексте данного вектора они и являются целью.

Таким образом прототип жертвы атаки — человек с недорогим смартфоном на базе Андроид, периодически подключающий свой смартфон к компьютеру, например чтобы обновить музыкальную коллекцию на своём устройстве. Судя по общему фону продаж смартфонов на этой платформе, думаю, что таких людей великое множество. Для более успешной атаки не хватает только более обширной схемы распространения.

Хочется отметить, что тот подход, который применил автор этих приложений, очень продуман. Предусмотрен обширный функционал. Например в андроид-версии бота помимо инфицирования рабочей станции есть ещё следующий функционал:

• Отправка SMS
• Исходящий вызов
• Выполнение произвольной команды
• Включение WIFI
• Получение информации об устройстве
• Открытие произвольной ссылки в браузере
• Скачивание всего содержимого SD-карты
• Загрузка произвольного файла(каталога) на сервер хозяина
• Получение всех SMS-сообщений
• Удаление всех SMS-сообщений
• Получение всех контактов/фото/координат.

Такого большого набора возможностей в одном приложении мы ещё не встречали.