Niebezpieczny trojan w oficjalnym firmware dla Androida
Zazwyczaj cyberprzestępcy, aby zainfekować urządzenia mobilne z Androidem używają dość trywialnej procedury i zmuszają swoje ofiary do samodzielnej instalacji złośliwych aplikacji. Ostatnio specjaliści Doctor Web zarejestrowali kolejny program tego typu - Android.Backdoor.114.
Android.Backdoor.114.origin jest znany analitykom Doctor Web już od dłuższego czasu - pierwszy raz ten trojan pojawił się ponad rok temu. Od tej pory wciąż stanowi wielkie zagrożenie dla użytkowników systemu Android, głównie dlatego, że bywa wbudowany bezpośrednio w firmware urządzenia mobilnego. W rezultacie usunięcie trojana stało się prawie niemożliwe z użyciem typowych narzędzi. Aby uwolnić się od złośliwego programu, użytkownik musi uzyskać uprawnienia root’a, co może być trudne (lub nawet niebezpieczne) do zrealizowania. Inną drogą jest ponowna instalacja systemu operacyjnego, jednakże to może prowadzić do trwałej utraty wszystkich danych, które nie zostały zachowane w kopiach zapasowych.
We wrześniu analitycy bezpieczeństwa byli świadkami nowej infekcji wywołanej przez Android.Backdoor.114.origin. Właściciele rosyjskiego tabletu Oysters T104 HVi 3G stali się ofiarami złośliwej aktywności tego backdoora - na ich urządzeniach malware ukrywało się w preinstalowanej aplikacji GoogleQuickSearchBox.apk. Mimo że producent został powiadomiony o problemie, do dziś oficjalna, dostępna do pobrania wersja firmware nie przeszła żadnych zmian i wciąż zawiera w sobie backdoora.
Android.Backdoor.114.origin pozyskuje i wysyła na serwer kontrolno-zarządzający informacje o zainfekowanym urządzeniu. W zależności od modyfikacji potrafi wysyłać cyberprzestępcom następujące dane:
- Unikalny identyfikator zainfekowanego urządzenia
- Adres MAC karty Bluetooth
- Rodzaj zainfekowanego urządzenia (smartfon lub tablet)
- Parametry z pliku konfiguracyjnego
- Adres MAC
- IMSI
- Wersję złośliwej aplikacji
- Wersję systemu operacyjnego
- Wersję API urządzenia
- Rodzaj połączenia sieciowego
- Nazwę pakietu aplikacji
- ID kraju
- Rozdzielczość ekranu
- Nazwę producenta urządzenia
- Nazwę modelu
- Ilość zajętego miejsca na karcie SD
- Ilość wolnego miejsca na karcie SD
- Ilość zajętego miejsca w pamięci wewnętrznej
- Ilość wolnego miejsca w pamięci wewnętrznej
- Listę aplikacji zainstalowanych w folderze systemowym
- Listę aplikacji zainstalowanych przez użytkownika
Jednak głównym celem Android.Backdoor.114.origin jest skryte ładowanie, instalowanie i usuwanie aplikacji po otrzymaniu komendy z serwera kontrolno-zarządzającego. Co więcej, trojan potrafi aktywować wyłączoną opcję instalowania aplikacji z niepewnych źródeł. W ten sposób, nawet gdy użytkownik stosuje się do zalecanych reguł bezpieczeństwa, backdoor potrafi zmodyfikować ustawienia w celu instalacji programów reklamowych oraz niechcianych i niebezpiecznych aplikacji.
Analitycy bezpieczeństwa zalecają użytkownikom systemu Android przeprowadzanie okresowego skanowania antywirusowego swoich urządzeń pod kątem znanych złośliwych programów. Jeśli trojan lub inny złośliwy program zostanie wykryty w firmware, zaleca się skontaktowanie z producentem urządzenia w celu uzyskania poprawionego obrazu systemu operacyjnego, ponieważ w większości przypadków, usunięcie takiego malware z użyciem wbudowanych narzędzi (włączając oprogramowanie antywirusowe) jest niemożliwe.