Laboratoria badawcze Comodo Threat Research Labs ostrzegają użytkowników Androida przed epidemią „Tordow V2.0”.

Opublikowane ponownie przez Plato

Obserwuje: 0

bezpieczeństwo Android Czas czytania: 5 minuty

Pod koniec listopada 2016 r. Comodo Laboratoria badające zagrożenia odkrył próbki szkodliwego oprogramowania na Androida „Tordow v2.0” atakującego klientów w Rosji. Tordow jest pierwszym trojanem bankowości mobilnej dla systemu operacyjnego Android, który stara się uzyskać uprawnienia root'a na zainfekowanych urządzeniach. Zazwyczaj złośliwe oprogramowanie bankowe nie wymaga uprawnień administratora do wykonywania swoich złośliwych działań, ale dzięki dostępowi na poziomie administratora hakerzy uzyskują szerszy zakres funkcji.

Ochrona Androida

Tordow 2.0 może wykonywać połączenia telefoniczne, kontrolować wiadomości SMS, pobierać i instalować programy, kraść dane logowania, uzyskiwać dostęp do kontaktów, szyfrować pliki, odwiedzać strony internetowe, manipulować danymi bankowymi, usuwać oprogramowanie zabezpieczające, zrestartuj urządzenie, zmień nazwy plików i działaj jako oprogramowanie ransomware. Przeszukuje przeglądarki Android i Google Chrome w poszukiwaniu przechowywanych poufnych informacji. Szczegóły techniczne pokazują, że Tordow 2.0 zbiera również dane o sprzęcie i oprogramowaniu urządzenia, systemie operacyjnym, producencie, dostawcy usług internetowych i lokalizacji użytkownika.

Tordow 2.0 posiada funkcje klasy CryptoUtil, za pomocą których może szyfrować i odszyfrowywać pliki za pomocą algorytmu AES z następującym zakodowanym kluczem: „MIIxxxxCgAwIB”. Pliki pakietu aplikacji dla systemu Android (APK) o nazwach takich jak „cryptocomponent.2” są szyfrowane algorytmem AES.

Tordow 2.0 ma dziewięć różnych sposobów sprawdzania, czy uzyskał uprawnienia roota. Jego status jest przesyłany do jednego z serwerów dowodzenia i kontroli (C2) atakującego, takiego jak ten znajdujący się pod adresem „https://2ip.ru”. Mając dostęp do roota, osoba atakująca może zrobić praktycznie wszystko, a usunięcie tak zakorzenionego złośliwego oprogramowania z zainfekowanego systemu staje się trudne.

Tordow rozprzestrzenia się za pośrednictwem popularnych mediów społecznościowych i aplikacji do gier, które zostały pobrane, poddane inżynierii wstecznej i sabotowane przez złośliwych programistów. Aplikacje, które zostały wykorzystane, to VKontakte (rosyjski Facebook), Pokemon Go, Telegram i Subway Surfers. Zainfekowane programy są zwykle dystrybuowane z witryn stron trzecich, które nie są powiązane z oficjalnymi witrynami, takimi jak sklepy Google Play i Apple, chociaż obie strony miały już wcześniej problemy z hostingiem i dystrybucją zainfekowanych aplikacji. Porwane aplikacje zwykle zachowują się tak samo jak oryginalne, ale zawierają również osadzone i zaszyfrowane złośliwe funkcje, w tym komunikację C2, pakiet exploitów umożliwiający dostęp do roota oraz dostęp do modułów trojana do pobrania.

Chociaż większość ofiar była w Rosji, skuteczne techniki hakerskie zwykle migrują do innych części globu. Aby chronić się przed Tordow 2.0 i podobnymi zagrożeniami, użytkownicy powinni aktualizować swoje oprogramowanie zabezpieczające, być podejrzliwi w stosunku do niechcianych linków i załączników oraz pobierać aplikacje tylko z oficjalnych stron internetowych.

Nazwa złośliwego oprogramowania	Android.spy .Tordow
Nazwisko analityka	G. Ravi Kryszna Varma
Typ podrzędny	Android.szpieg
Kraj docelowy	Rosyjski
Pierwsze odkryte	Nov-2016
Zmieniony	Gru-2016
Działalność przestępcza	Fałszywy apk, wszystkie informacje o systemie operacyjnym i telefonie komórkowym, szczegóły regionu szpiegowania, urządzenie root, rejestracja urządzenia, pobieranie, uruchamianie i aktualizowanie wersji funkcji kryptokomponentu i wykonania zadania (DOWNLOAD_AND_RUN , UPLOAD_FILE, LOCKEDDevice, LockURL , PROŚBA O ALARMU, ODBLOKUJ urządzenie, ENCRYPT_FILES_FILES, DECRY DELETE_FILES, GET_FILE_LIST, LOAD_HTTP_ URL ADD_ALTERNATE_SERVER, RELOAD_LIB, SET_PREFERENCE, ABORT_ALL_SMS, MASK_ABORT_SMS, SEND_SMS, SEND_SMS2, FAKE_INBOX_SMS, FAKE_SENT_SMS, ABORT_ALL_CALLS, ABORT_ALL_CALLS, ABORT_INCOMING, ABORT_OUTGOING, ABORT_NUMBER, REDIRECTION_NUMBER, GET_ALL_SMS, GET_ALL_CONTACTS, CHECK_BALANSE, zadzwoń, MASS_SEND_SMS).
IP Tordowa	http://192.168.0.2 http://5.45.70.34
Wersja Tordow	Wersja 1.0 i wersja 2.0

Przegląd techniczny Tordow v2.0

Przegląd techniczny Tordow v2.0

Hierarchia klas Tordow v2.0 (grudzień 2016)

Przegląd techniczny Tordow v2.0

Hierarchia klas Tordow v1.0 (wrzesień 2016)

Funkcjonalny widok mapy Tordow v2.0

Funkcjonalności Tordow v2.0:

1) Wszystkie informacje: informacje o wszystkich szczegółach systemu i szczegółach mobilnych, takich jak wersja systemu operacyjnego, poziom interfejsu API systemu operacyjnego, urządzenie, model (i produkt), wersja kompilacji, marka kompilacji, kompilacja ABI procesora, kompilacja ABI procesora2, kompilacja sprzętu, identyfikator kompilacji, kompilacja Producent, użytkownik kompilacji i host kompilacji.

Funkcjonalności Tordow v2.0
2) Uzyskaj region: informacje o wszystkich szczegółach regionu geograficznego (hrabstwo i cytowanie),
ISP (przykład: Airtel Broad Band), szczegóły przeglądarki (nazwa przeglądarki i wersja przeglądarki) oraz wersja systemu operacyjnego Android po podłączeniu „https://2ip.ru”.

Szczegóły regionu geograficznego

3) Zrootowane urządzenie: Sprawdź, czy urządzenie mobilne jest zrootowane z 9 warunkami wymienionymi poniżej:

Zrootowane urządzenie

4) Rejestracja urządzenia: dowolny z warunków urządzenia zrootowanego jest dopasowany, przechowuje informacje o urządzeniu zrootowanym na serwerze szpiegowskim, takie jak urządzenie kompilacyjne, wersja kompilacji urządzenia, nazwa pakietu, dane operatora karty SIM, urządzenie główne i niestandardowe urządzenie główne.

Rejestracja urządzenia

5) Pobierz: utrzymuje aktualizację wersji zakodowanych na sztywno przyszłych zaszyfrowanych nazw apk, które są (/cryptocomponent.2, /cryptocomponent.3 i /cryptocomponent.4), szczegóły serwera pobierania plików to (http://XX.45.XX.34 oraz http://192.xx.0.xx).

Do pobrania

Uwaga:
Powyżej wspomnijmy, że wszystkie cryptocomponent.2 , cryptocomponent.3 i cryptocomponent.4 są przyszłej aktualizacji pliku apk kryptokomponentu, który zostanie zaszyfrowany algorytmem AES. Obecna wersja to cryptocomponent.1, który jest również szyfrowany algorytmem AES.

6) Logowanie do urządzenia: zachowuje szczegóły logowania do urządzenia, takie jak numer IMEI telefonu komórkowego i inne szczegóły.

Logowanie do urządzenia

7) Wykonaj zadanie: Utrzymuje listę executeTask, takich jak Download_and_run, upload_file, LockedDevice, Lockurl, Żądanie alarmu, Urządzenie Unlock, Encrypt_Files, decryt_Files, Delete_files, Get_File_List, Load_HTTP_ URL, Add_alternate_server, Reload_lib, Set_Preference, Abort_all_SMS, MassMSS2, Send_SMS, Send_SMSXNUMX ,FAKE_INBOX_SMS,FAKE_SENT_SMS,ABORT_ALL_CALLS, ABORT_ALL_CALLS, ABORT_INCOMING, ABORT_OUTGOING, ABORT_NUMBER, REDIRECTION_NUMBER, GET_ALL_SMS, GET_ALL_CONTACTS , CHECK_BALANSE, CALL_SMS_.

Wykonaj zadanie

8) CryptoUtil: utrzymuje funkcje klasy CryptoUtil do szyfrowania i deszyfrowania plików przy użyciu algorytmu AES z zakodowanym kluczem „MIIxxxxCgAwIB”.

Narzędzie kryptograficzne