Przejdź do głównej zawartości

Malware na Androida Ssucl.A infekuje komputery z systemem Windows oprogramowaniem szpiegującym


Złośliwe aplikacje na Androida są zdolne przeprowadzać ataki wieloplatformowe i infekować komputery z system Windows..

Rozwój złośliwego oprogramowania na system Android osiągnął swój kolejny kamień milowy. Wirus Android.Backdoor.Ssucl.A potrafi atakować komputery z systemem Windows w momencie podłączenia tabletu lub telefonu poprzez kabel USB. Wirus wykorzystuję liczne zdalnie sterowane funkcje, by zamienić nasze urządzenie mobilne w bezmyślne zombie sterowane przez hakerów.

Z końcem stycznia specjaliści ds. bezpieczeństwa IT natrafili na pierwsze wersje Ssucl.A w sieci. Spośród wszystkich dostępnych miejsc, malware został odnaleziony w oficjalnym sklepie z aplikacjami dla Androida Google Play, a także wielu innych sklepach oferujących programy na urządzenia mobilne.

Właściciele urządzeń ze starszymi wersjami Androida często mają problemy z niewystarczającą ilością pamięci. Dlatego wielu użytkowników poszukuje oprogramowania, które pomaga optymalizować system. Autorzy złośliwego oprogramowania postanowili to wykorzystać i ukryli malware w aplikacjach oferujących takie funkcje.  Takim sposobem Ssucl.A został pobrany około tysiąca razy z Google Play. W sklepach z oprogramowaniem na Androida złośliwe oprogramowanie ukrywało się w aplikacji „SuperClean”, darmowym narzędziu do czyszczenia pamięci.

Malware zawierający szereg zadziwiających funkcji
Eksperci G Data SecurityLabs przeanalizowali kilka próbek złośliwego kodu. Analiza próbki pokazała, że atakujący mogą wykonywać szereg działań na zainfekowanym urządzeniu:
·         Wykonywać połączenia oraz przesyłać wiadomości tekstowe na dowolne numery
·         Przeglądać pliki, kontakty, SMS, informacje na temat sprzętu i przesyłać je na wcześniej zdefiniowany serwer
·         Atakujący mogą zdalnie sterować urządzeniem
·         Włączyć lub wyłączyć połączenia sieciowe
·         Włączyć lub wyłączyć przekierowanie połączeń
·         Przesyłać pliki oraz dane bezpośrednio na urządzenie
·         Wyświetlać fałszywe okno logowania do Dropbox oraz do konta Google
·         Lokalizować urządzenie mobilne tym samym samego użytkownika
·         Przeprowadzić atak na komputery z systemem Windows

Zagrożenia dla urządzeń mobilnych: wykorzystanie kodów USSD
Możliwość wykonywania połączeń na dowolne numery niesie ze sobą większe ryzyko niż może się to wydawać na pierwszy rzut oka. Telefon może zostać wykorzystany do wykonywania połączeń z kodami sterującymi i zarządzającymi wieloma funkcjami np. pocztą głosową. Niektóre typy urządzeń pozwalają atakującym na restart urządzenia, przywrócenie ustawień fabrycznych  lub trwałe uszkodzenie karty SIM.

Jak androidowy malware infekuje komputery PC?
Wirus na wyraźną komendę atakującego może pobierać pliki na zainfekowane urządzenie mobilne. Analizowany złośliwy kod pobrał 3 pliki: autorun.inf, folder.ico and svchosts.exe. 
Plik .ico to ikona wyświetlana użytkownikowi w eksploratorze Windows jako „napęd” który jest dostarczany. Plik autorun.inf zawiera informacje na temat działań, które mają zostać wykonane automatycznie (w tym wypadku instalacja złośliwego oprogramowania na PC) jak tylko nośnik danych (w tym wypadku zainfekowane urządzenie mobilne) zostanie podłączone do komputera PC z systemem Windows.
Jeżeli urządzenie jest podłączone poprzez kabel USB, a funkcja Autorun jest włączona, sprzęt automatycznie podłączy się do PC jako zewnętrzny dysk. Wtedy funkcja autostartu Windows automatycznie pobierze zainfekowany plik svchosts.exe i tak nasz sprzęt z Androidem infekuje nasz komputer.
  
Nie wszystkie urządzenia mobilne umożliwiają zainfekowanie PC
Na szczęście metoda opisana powyżej nie działa na wszystkich urządzeniach, przykładowo napastnicy nie mogą zaatakować komputerów poprzez urządzenia wykorzystujące MTP (Media Transfer Protocol).  Jednak istnieje ryzyko, że użytkownik sam przez przypadek dostarczy złośliwy plik.
Z instrukcji lub strony producenta możesz dowiedzieć się czy Twoje urządzenie mobilne wykorzystuje  MTP.

Szkodliwe oprogramowanie na Windows
Opisywany malware PC po uruchomieniu autostartu tworzy wpis w rejestrze by wirus uruchomił się automatycznie przy restarcie komputera. Następnie nawiązuje połączenie z serwerem C&C (command-and-control) do którego program przesyła podstawowe informacje na temat użytkownika i zainfekowanego systemu.
Jednak to co wyróżnia Ssucl.A spośród innego malware’u to zakodowana „funkcja nasłuchu”. Jeśli tylko poziom dźwięków odbieranych przez mikrofon zainfekowanego komputera przekroczy odpowiedni poziom, oprogramowania rozpoczyna nagrywanie.  Następnie pliki audio przesyłane są na zewnętrzny serwer w zaszyfrowanej postaci. Dodatkowo Ssucl.A posiada inne funkcje programów szpiegujących– wykonuje zrzuty ekranu użytkownika podczas jego aktywności oraz przechwytuje dane z popularnych przeglądarek jak Chrome czy Firefox.


Ataki wieloplatformowe
Generalnie rzecz biorąc atak przeprowadzony przez twórców Ssucl.A na platformę Windows to nic nowego, jednak samo wykorzystanie urządzeń mobilnych z Androidem jako nosicieli wirusów PC zostało odnotowane po raz pierwszy!
W 2005 roku malware „Cardtrap” na zapomniany już system operacyjny Symbian, używał podobnych technik by infekować komputery PC.

G Data ostrzega przed możliwością zarażenia komputera z wykorzystaniem aktywnej funkcji Autorun w systemie Windows. Już od dłuższego czasu ilość ataków z wykorzystaniem tej tej funkcji systematycznie się zmniejszała. Ograniczały się one do dystrybucji wirusów poprzez nośniki jak CD, DVD czy pendrive. Sukces rynkowy jaki osiągnęły przenośne urządzenia wyposażone w system Android, dał do myślenia cyberprzestępcom, którzy postanowili wykorzystać urządzenia mobilne do rozprzestrzeniania swoich złośliwych aplikacji.
Aby uzyskać więcej informacji na temat zagrożeń na Androida, patrz G Data Malware Report 2012.


Wskazówki i porady:
  • Zabezpiecz swoje urządzenia z Androidem, oraz upewnij się że chronisz swój komputer przed złośliwym oprogramowaniem. Kompleksową ochronę zapewni G Data MobileSecurity 2 i G Data InternetSecurity 2013
  • Używaj ładowarki nigdy komputera do ładowania swojego telefonu. Pod żadnym pozorem nie ładuj baterii swojego telefonu korzystając z nieznanego Ci komputera PC
  • Pobieraj aplikacje na urządzenia mobilne tylko ze sprawdzonych źródeł
  • W marketach z aplikacjami zwróć uwagę na oceny i opinie innych użytkowników na temat oprogramowania, które chcesz pobrać
  • Gogle Play informuje przed instalacją o wymaganych zezwoleniach których wymaga aplikacja. Zawsze należy sprawdzić na co zezwalamy nowo instalowanej aplikacji i samemu ocenić czy jest to niezbędne
  • Wyłącz funkcje Autorun na swoim komputerze. Jak to zrobić? Opis na stronie producenta Windows http://support.microsoft.com/kb/967715/pl




Komentarze

Popularne posty z tego bloga

PUP – „programy usilnie przeszkadzające”

Internet pełny jest narzekań oraz pytań na temat potencjalnie niechcianego oprogramowania, w skrócie PUP (potenially unwanted programs). Użytkownicy skarżą się na wirusy, które zainfekowały ich przeglądarkę lub paski narzędzi, które włamały się do ich komputera.  Aplikacje z tej grupy nie są jednak przypisane do kategorii złośliwego oprogramowania w szczególności, że większości „infekcji” tego rodzaju jest dość łatwa do uniknięcia.  Ogólnie rzecz biorąc temat PUP jest wieloaspektowym problemem dla użytkowników i branży antywirusowej jednocześnie będąc dochodowym biznesem dla ich dystrybutorów.
PUP to nie malware Określenie złośliwe oprogramowanie odnosi do software’u, którego głównym celem jest wyrządzenie szkód na zainfekowanym urządzeniu lub kradzież informacji z zamiarem ich wykorzystania do działań przestępczych (kradzież tożsamości, nadużycia finansowe czy sprzedaż wykradzionych danych). Nie zawsze jednak możemy tak łatwo rozróżnić typowe złośliwe pliki od potencjalnie niechciane…

Ekspert ds. bezpieczeństwa na wakacjach: Czy hotelowe sejfy są bezpieczne?

Okres letni w mediach często nazywany ogórkowym ma swoje prawa. Jednym z nich są tematy, które normalnie nie przebiłyby się na pierwsze strony gazet czy nagłówki stron internetowych. Podobnie jest z historią, którą dziś będziemy chcieli wam przybliżyć. W normalny dzień roboczy nie jest to główne zadanie pracowników naszego SecurityLabu, jednak w okresie letnich wyjazdów postanowiliśmy sprawdzić jeden z hotelowych sejfów. I co? Z bezpieczeństwem nie ma on za dużo wspólnego.
Ekspert ds. bezpieczeństwa na wakacjach Wciąż jesteśmy na początku okresu wakacyjnego i wielu z nas długo wyczekiwany urlop ma wciąż w planach. Co powinniśmy wiedzieć wybierając się na wyjazd z wartościowymi rzeczami, na które tak ciężko pracowaliśmy przez cały rok poprzedzający nasz urlop? Jeżeli będziecie wypoczywać w hotelu możecie natknąć się w swoim pokoju na tzw. sejf hotelowy. Nasz ekspert wybrał się na zasłużoną przerwę od wyszukiwania i analizowania kolejnych wirusów i trojanów. W hotelu natknął się na popu…

Nic nie zamawiałeś? I tak możesz otrzymać maila o odbiorze paczki.

InPost i jego klienci na celowniku hakerów.
W naszych archiwalnych wpisach często mogliście natknąć się na opisy ataków lub kampanii phishingowych ukierunkowanych na użytkowników serwisu aukcyjnego Allegro. Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.


Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.


PORÓWNANIE
Adres nadawcy wiadomości o tytule „P…