Авторы
Вирусописатели, создающие Android-троянцев, традиционно используют в качестве образца функционал Windows зловредов. Теперь еще одна «фишка» Windows троянцев реализована в зловредах под Android: мы обнаружили первый Android-троянец, который в качестве C&C использует домен в псевдо-зоне .onion. Таким образом, этот троянец использует анонимную сеть Tor, построенную на сети прокси-серверов. Кроме обеспечения анонимности пользователя, Tor позволяет размещать в доменной зоне .onion «анонимные» сайты, доступные только в Tor.
Backdoor.AndroidOS.Torec.a представляет собой изменённый популярный Tor-клиент Orbot. Злоумышленники добавили свой код в это приложение, причем троянец не выдает себя за Orbot, он просто использует функционал этого клиента.
Троянец может получать с С&C следующие команды:
- начать/закончить перехват входящих SMS
- начать/закончить кражу входящих SMS
- сделать USSD запрос
- отправить на C&C данные о телефоне (телефонный номер, страна, IMEI, модель, версия OS)
- отправить на C&C список установленных на мобильном устройстве приложений
- отправить SMS на номер, указанный в команде
Использование TOR имеет для злоумышленников свои плюсы и минусы. Среди плюсов то, что такой C&C невозможно закрыть. К минусам же стоит отнести необходимость дополнительного кода. Для того, чтобы Backdoor.AndroidOS.Torec.a мог использовать Tor, потребовалось гораздо больше кода, чем для его собственного функционала.
Авторы
Первый TOR троянец под Android
От тех же авторов
В той же категории
Asish K Sahadevan
Hi,
I am a cyber security student at Amrita Vishwa Vidyapeetham,Tamil Nadu,India.Can I get the source of the trojan Torec..Its for research purpose.