Comodo Threat Research Labs Warns Android Users Of “Tordow V2.0” Outbreak

بازنشر افلاطون

دنبال: 0

امنیت اندروید زمان خواندن: 5 دقیقه

در اواخر نوامبر 2016، Comodo آزمایشگاه های تحقیقاتی تهدید نمونه‌هایی از بدافزار اندروید Tordow v2.0 را کشف کرد که بر مشتریان در روسیه تأثیر می‌گذارد. Tordow اولین تروجان بانکداری همراه برای سیستم عامل اندروید است که به دنبال کسب امتیازات روت در دستگاه های آلوده است. به طور معمول، بدافزارهای بانکی برای انجام فعالیت های مخرب خود به دسترسی روت نیاز ندارند، اما با دسترسی ریشه، هکرها طیف وسیع تری از عملکردها را به دست می آورند.

محافظت اندروید

Tordow 2.0 می تواند تماس های تلفنی برقرار کند، پیام های SMS را کنترل کند، برنامه ها را دانلود و نصب کند، اطلاعات ورود به سیستم را سرقت کند، به مخاطبین دسترسی پیدا کند، فایل ها را رمزگذاری کند، از صفحات وب بازدید کند، داده های بانکی را دستکاری کند، حذف کند. نرم افزار امنیتی، یک دستگاه را راه اندازی مجدد کنید، نام فایل ها را تغییر دهید و به عنوان باج افزار عمل کنید. این مرورگر اندروید و گوگل کروم را برای اطلاعات حساس ذخیره شده جستجو می کند. جزئیات فنی نشان می‌دهد که Tordow 2.0 همچنین داده‌های مربوط به سخت‌افزار و نرم‌افزار دستگاه، سیستم‌عامل، سازنده، ارائه‌دهنده خدمات اینترنتی و مکان کاربر را جمع‌آوری می‌کند.

Tordow 2.0 دارای توابع کلاس CryptoUtil است که با آن می تواند فایل ها را با استفاده از الگوریتم AES با کلید رمزگذاری شده زیر رمزگذاری و رمزگشایی کند: 'MIIxxxxCgAwIB'. فایل‌های بسته برنامه اندروید آن (APK) با نام‌هایی مانند «cryptocomponent.2» با الگوریتم AES رمزگذاری شده‌اند.

Tordow 2.0 دارای 2 روش مختلف است که از طریق آنها تأیید می کند که امتیازات ریشه را به دست آورده است. وضعیت آن به یکی از سرورهای فرمان و کنترل مهاجم (C2) منتقل می شود، مانند سروری که در "https://XNUMXip.ru" یافت می شود. با دسترسی ریشه، مهاجم تقریباً می تواند هر کاری انجام دهد و حذف چنین بدافزارهای جا افتاده از یک سیستم آلوده دشوار می شود.

Tordow از طریق رسانه‌های اجتماعی رایج و برنامه‌های بازی که دانلود، مهندسی معکوس و خرابکاری شده‌اند توسط کدنویس‌های مخرب منتشر می‌شود. برنامه هایی که مورد سوء استفاده قرار گرفته اند عبارتند از VKontakte (فیس بوک روسی)، پوکمون گو، تلگرام و Subway Surfers. برنامه‌های آلوده معمولاً از سایت‌های شخص ثالث غیروابسته به وب‌سایت‌های رسمی مانند فروشگاه‌های Google Play و Apple توزیع می‌شوند، اگرچه هر دو قبلاً با میزبانی و توزیع برنامه‌های آلوده مشکل داشتند. برنامه‌های ربوده‌شده معمولاً مانند برنامه‌های اصلی عمل می‌کنند، اما شامل عملکردهای مخرب جاسازی‌شده و رمزگذاری‌شده از جمله ارتباطات C2، یک بسته بهره‌برداری برای دسترسی ریشه، و دسترسی به ماژول‌های تروجان قابل دانلود می‌شوند.

اگرچه اکثر قربانیان در روسیه بوده‌اند، تکنیک‌های موفق هکر معمولاً به سایر نقاط جهان مهاجرت می‌کنند. برای محافظت در برابر Tordow 2.0 و تهدیدات مشابه، کاربران باید نرم افزار امنیتی خود را به روز نگه دارند، به پیوندها و پیوست های ناخواسته مشکوک باشند و فقط برنامه ها را از وب سایت های رسمی دانلود کنند.

نام بدافزار	Android.spy .Tordow
نام تحلیلگر	جی راوی کریشنا وارما
نوع فرعی	Android.spy
کشور مقصد	روسی
اولین بار کشف شد	نوامبر-2016
آخرین به روز رسانی	دسامبر-2016
فعالیت های جنایی	apk جعلی، تمام اطلاعات در مورد سیستم عامل و تلفن همراه، جزئیات منطقه جاسوسی، دستگاه ریشه، ثبت دستگاه، دانلود، اجرای و ارتقاء نسخه ویژگی cryptocomponent و ExecuteTask (DOWNLOAD_AND_RUN، UPLOAD_FILE، LOCKEDDevice، LOCKEDDEvice، LOCKURL_NCLONCRYQUPTRYQUEST، ALKURL_FILE، LOCKURL_FILE، ALKURL. DELETE_FILES, GET_FILE_LIST, LOAD_HTTP_ URL , ADD_ALTERNATE_SERVER, RELOAD_LIB , SET_PREFERENCE,ABORT_ALL_SMS, MASK_ABORT_SMS ,SEND_SMS ,SEND_SMS2 ,FAKE_INBOX_SMS,FAKE_SENT_SMS, ABORT_ALL_CALLS, ABORT_ALL_CALLS, ABORT_INCOMING, ABORT_OUTGOING, ABORT_NUMBER, REDIRECTION_NUMBER, GET_ALL_SMS, GET_ALL_CONTACTS, CHECK_BALANSE, CALL, MASS_SEND_SMS).
Tordow IP	http://192.168.0.2 http://5.45.70.34
نسخه توردو	نسخه 1.0 و نسخه 2.0

مروری فنی Tordow نسخه 2.0

مروری فنی Tordow نسخه 2.0

سلسله مراتب کلاس Tordow نسخه 2.0 (دسامبر-2016)

مروری فنی Tordow نسخه 2.0

سلسله مراتب کلاس Tordow نسخه 1.0 (سپتامبر-2016)

نمای نقشه کاربردی Tordow نسخه 2.0

قابلیت های Tordow v2.0:

1) همه اطلاعات: اطلاعات مربوط به تمام جزئیات سیستم و جزئیات تلفن همراه مانند نسخه سیستم عامل، سطح API سیستم عامل، دستگاه، مدل (و محصول)، نسخه ساخت، نام تجاری ساخت، ساخت CPU ABI، ساخت CPU ABI2، ساخت سخت افزار، شناسه ساخت، ساخت سازنده، ساخت کاربر و ساخت میزبان.

Tordow v2.0 توابع
2) دریافت منطقه: اطلاعات مربوط به تمام جزئیات منطقه جغرافیایی (شهرستان و نقل قول)،
ISP (مثال: Airtel Broad Band)، جزئیات مرورگر (نام مرورگر و نسخه مرورگر) و نسخه سیستم عامل Android با اتصال "https://2ip.ru".

جزئیات منطقه جغرافیایی

3) دستگاه روت شده: بررسی می شود که آیا دستگاه تلفن همراه با 9 شرایط ذکر شده در زیر روت شده است یا خیر:

دستگاه روت شده

4) ثبت دستگاه: هر یک از شرایط دستگاه روت شده مطابقت دارد، اطلاعات دستگاه روت شده آن را در سرور جاسوسی ذخیره می کند، مانند Build Device، نسخه ساخت دستگاه، نام بسته، جزئیات اپراتور سیم کارت، دستگاه ریشه و دستگاه ریشه سفارشی.

ثبت دستگاه

5) دانلود: نسخه ارتقاء یافته نام‌های apk رمزگذاری‌شده آینده را که عبارتند از (/cryptocomponent.2، /cryptocomponent.3 و /cryptocomponent.4)، جزئیات سرور دانلود فایل (http://XX.45.XX.34) را حفظ می‌کند. و http://192.xx.0.xx).

دانلود

توجه داشته باشید:
در بالا به همه cryptocomponent.2، cryptocomponent.3 و cryptocomponent.4 اشاره شد که در آینده فایل apk ارتقاء یافته cryptocomponent هستند که توسط الگوریتم AES رمزگذاری خواهند شد. نسخه فعلی cryptocomponent.1 است که توسط الگوریتم AES نیز رمزگذاری شده است.

6) ورود به دستگاه: جزئیات ورود دستگاه مانند شماره IMEI موبایل و سایر جزئیات را حفظ می کند.

ورود دستگاه

7) اجرای وظیفه: لیستی از اعدام ها مانند بارگیری_ و بارگیری ، upload_file ، lockeddevice ، lockurl ، درخواست زنگ هشدار ، دستگاه قفل ، رمزگذاری شده ، decryt_files ، delete_files ، senspilss ، get_file_list ، load_http_ url ، add_alternate_server ، reload_server ، reload_server ، reload_http_ url. ,FAKE_INBOX_SMS,FAKE_SENT_SMS,ABORT_ALL_CALLS, ABORT_ALL_CALLS, ABORT_INCOMING, ABORT_OUTGOING, ABORT_NUMBER, REDIRECTION_NUMBER, GET_ALL_SMS, GET_ALL_CONTACTS, CHECK_BASS, CHECK_BASS, و MASS.

اجرای وظیفه