Comodo Threat Research Labs advarer Android-brukere om "Tordow V2.0"-utbrudd

Publisert av Platon

Følgere: 0

Android sikkerhet Lesetid: 5 minutter

I slutten av november 2016, Comodo Trusselforskningslaboratorier oppdaget prøver av Android-malwaren «Tordow v2.0» som påvirker klienter i Russland. Tordow er den første mobilbanktrojaneren for Android-operativsystemet som søker å få root-privilegier på infiserte enheter. Vanligvis krever ikke bankprogramvare root-tilgang for å utføre sine ondsinnede aktiviteter, men med root-tilgang får hackere et bredere spekter av funksjonalitet.

Android-beskyttelse

Tordow 2.0 kan ringe, kontrollere SMS-meldinger, laste ned og installere programmer, stjele påloggingsinformasjon, få tilgang til kontakter, kryptere filer, besøke nettsider, manipulere bankdata, fjerne sikkerhetsprogramvare, start en enhet på nytt, endre navn på filer og fungere som løsepengeprogramvare. Den søker i Android- og Google Chrome-nettleserne etter lagret sensitiv informasjon. Tekniske detaljer viser at Tordow 2.0 også samler inn data om enhetens maskinvare og programvare, operativsystem, produsent, Internett-leverandør og brukerplassering.

Tordow 2.0 har CryptoUtil-klassefunksjoner som den kan kryptere og dekryptere filer med ved hjelp av AES-algoritmen med følgende hardkodede nøkkel: 'MIIxxxxCgAwIB'. Dens Android-applikasjonspakke (APK)-filer, med navn som "cryptocomponent.2", er kryptert med AES-algoritmen.

Tordow 2.0 har ni forskjellige måter den bekrefter at den har fått root-privilegier på. Statusen overføres til en av angriperens kommando-og-kontroll-servere (C2), for eksempel en som finnes på "https://2ip.ru". Med root-tilgang kan angriperen stort sett gjøre hva som helst, og det blir vanskelig å fjerne slik forankret skadelig programvare fra et infisert system.

Tordow spres via vanlige sosiale medier og spillapplikasjoner som har blitt lastet ned, omvendt utviklet og sabotert av ondsinnede programmerere. Apper som har blitt utnyttet inkluderer VKontakte (det russiske Facebook), Pokemon Go, Telegram og Subway Surfers. Infiserte programmer distribueres vanligvis fra tredjepartssider som ikke er tilknyttet offisielle nettsteder som Google Play og Apple-butikker, selv om begge har hatt problemer med å hoste og distribuere infiserte apper før. Kaprede apper oppfører seg vanligvis akkurat som de originale, men inkluderer også innebygd og kryptert ondsinnet funksjonalitet inkludert C2-kommunikasjon, en utnyttelsespakke for root-tilgang og tilgang til nedlastbare trojanske moduler.

Selv om flertallet av ofrene har vært i Russland, migrerer vellykkede hackerteknikker vanligvis til andre deler av kloden. For beskyttelse mot Tordow 2.0 og lignende trusler bør brukere holde sikkerhetsprogramvaren oppdatert, være mistenksom overfor uønskede lenker og vedlegg og kun laste ned applikasjoner fra offisielle nettsteder.

Navn på skadelig programvare	Android.spy .Tordow
Analytikernavn	G. Ravi Krishna Varma
Undertype	Android.spy
Målland	Russisk
Først oppdaget	Nov-2016
Sist oppdatert	Dec-2016
Kriminelle aktiviteter	Falsk apk ,All informasjon om OS og mobil, Spioneringsregiondetaljer, Root Device, Device Registration, Last ned, Kjør og oppgrader funksjonsversjon av kryptokomponent og ExecuteTask (DOWNLOAD_AND_RUN, UPLOAD_FILE, LOCKEDDevice, LockURL ,ALARM FORESPØRSEL, ENFICCRY, ENFICTYLES DELETE_FILES, GET_FILE_LIST, LOAD_HTTP_ URL , ADD_ALTERNATE_SERVER, RELOAD_LIB , SET_PREFERENCE,ABORT_ALL_SMS, MASK_ABORT_SMS ,SEND_SMS ,SEND_SMS2 ,FAKE_INBOX_ABORT_SMS, ABORT_SALL_ABORT, ABORT_SMS, ABORT ORT_INCOMING, ABORT_OUTGOING, ABORT_NUMBER, REDIRECTION_NUMBER, GET_ALL_SMS, GET_ALL_CONTACTS, CHECK_BALANSE, CALL, MASS_SEND_SMS).
Tordow IP	http://192.168.0.2 http://5.45.70.34
Tordow versjon	Versjon 1.0 og versjon 2.0

Teknisk oversikt over Tordow v2.0

Teknisk oversikt over Tordow v2.0

Class Hierarchy of Tordow v2.0 (desember 2016)

Teknisk oversikt over Tordow v2.0

Class Hierarchy of Tordow v1.0 (sep-2016)

Funksjonell kartvisning av Tordow v2.0

Tordow v2.0 funksjoner:

1) All info: Informasjon om alle systemdetaljer og mobildetaljer som OS-versjon, OS API-nivå, enhet, modell (og produkt), byggeversjon, bygge merke, bygge CPU ABI, bygge CPU ABI2, bygge maskinvare, bygge-ID, bygge Produsent , Byggbruker og Byggvert.

Tordow v2.0-funksjoner
2) Hent region: Informasjon om alle geografiske regiondetaljer (fylke og sitat),
ISP (Eksempel: Airtel Broad Band), nettleserdetaljer (nettlesernavn og nettleserversjon) og Android OS-versjon ved å koble til "https://2ip.ru".

Detaljer om geografisk område

3) Rooted Device: Det er sjekk om mobilenhet rotet med 9 betingelser oppført nedenfor:

Rotet enhet

4) Enhetsregistrering: Enhver av de rotfestede enhetsbetingelsene samsvarer, dens lagrer rotet enhetsinformasjon i spionserveren som Bygg enhet, Byggversjon av enhet, Pakkenavn, SIM-operatørdetaljer, Rotenhet og tilpasset rotenhet.

Enhetsregistrering

5) Last ned: Den opprettholder en oppgraderingsversjon av hardkodede fremtidige krypterte apk-navn som er (/cryptocomponent.2, /cryptocomponent.3 og /cryptocomponent.4), filnedlastingsserverdetaljer er (http://XX.45.XX.34) og http://192.xx.0.xx).

Last ned

OBS:
Ovenfor nevnes alle cryptocomponent.2 , cryptocomponent.3 og cryptocomponent.4 er fremtidig oppgradering av cryptocomponent apk-fil som vil bli kryptert av AES-algoritmen. Den nåværende versjonen er cryptocomponent.1 som også er kryptert av AES-algoritmen.

6) Enhetspålogging: Den opprettholder enhetspåloggingsdetaljer som mobilt IMEI-nummer og andre detaljer.

Enhetspålogging

7) Utfør oppgave: Den opprettholder en liste over ExecuteTask som DOWNLOAD_AND_RUN , UPLOAD_FILE, LOCKEDDevice, LockURL ,ALARM REQUEST, UNLOCK Device, ENCRYPT_FILES , DECRYT_FILES, DELETE_FILE_FILES_, ALTTP_FILE_, ALTTP_FILE_, ALTTP_FILE_, ALTTP , RELOAD_LIB , SET_PREFERENCE,ABORT_ALL_SMS, MASK_ABORT_SMS ,SEND_SMS ,SEND_SMS2 ,FAKE_INBOX_SMS,FAKE_SENT_SMS,ABORT_ALL_CALLS, ABORT_ALL_CALLS, ABORT_INCOMING, ABORT_OUTGOING, ABORT_NUMBER, REDIRECTION_NUMBER, GET_ALL_SMS, GET_ALL_CONTACTS , CHECK_BALANSE, CALL_SMS_S.

Utfør oppgave

8) CryptoUtil: Den opprettholder CryptoUtil-klassefunksjoner for å kryptere og dekryptere filer ved hjelp av AES-algoritme med hardkodet nøkkel 'MIIxxxxCgAwIB'.

CryptoUtil