Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY



Podobne dokumenty
Analiza malware Remote Administration Tool (RAT) DarkComet

H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Analiza malware'u SandroRAT_sec Kaspersky_Mobile_Security.apk

Trojan bankowy Emotet w wersji DGA

Necurs analiza malware (1)

Instrukcja podłączenia bramki IP 1R+L oraz IP 2R+L w trybie serwisowym za pomocą usługi telnet.

Android poradnik programisty

MODEM GSM-01. INSTRUKCJA OBŁUGI MODUŁU KOMUNIKACYJNEGO GSM-01 wersja 1.0 GSM-01 INSTRUKCJA OBSŁUGI - 1 -

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Współpraca z platformą Emp@tia. dokumentacja techniczna

Instrukcja instalacji usługi Sygnity SmsService

Instrukcja instalacji usługi Sygnity Service

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

SERWER AKTUALIZACJI UpServ

Instrukcja instal Dokument przedstawia sposób instalacji programu Sokrates na komputerze PC z systemem operacyjnym Windows. Instalacja pracuje w

BEZPIECZEŃSTWO UŻYTKOWNIKA APLIKACJI FACEAPP. Analiza Zespołu CERT POLSKA w Państwowym Instytucie Badawczym NASK

Instrukcja konfiguracji funkcji skanowania

INFRA. System Connector. Opis wdrożenia systemu

POLITYKA PRYWATNOŚCI ORAZ POLITYKA PLIKÓW COOKIES W Sowa finanse

Instrukcja instalacji usługi Sygnity SmsService

Instrukcja instalacji usługi Sygnity Service

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

12. Wirtualne sieci prywatne (VPN)

Wiadomości. ZPKSoft Doradca. Wstęp.

INSTRUKCJA OBSŁUGI. Pakietu Bezpieczeństwa UPC (ios) Radość z. każdej chwili

Współpraca z platformą dokumentacja techniczna

Klient-Serwer Komunikacja przy pomocy gniazd

Usługi sieciowe systemu Linux

SERWER AKTUALIZACJI UpServ

Instrukcja obsługi Pakietu Bezpieczeństwa UPC (ios)

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Sesje i logowanie. 1. Wprowadzenie

INSTRUKCJA INSTALACJI I PIERWSZEGO URUCHOMIENIA APLIKACJI Rodzajowa Ewidencja Wydatków plus Zamówienia i Umowy

System kontroli dostępu ACCO NET Instrukcja instalacji

Instalacja serwera baz danych PostgreSQL w systemach operacyjnych z rodziny Windows.

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

Instrukcja instalacji i konfiguracji Karty EDGE/GPRS SonyEricsson GC85

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Instrukcja użytkownika. Aplikacja mysafety Mobile i mysafety e-sticker_wersja WSTĘP... 2

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

INSTRUKCJA KONFIGURACJI KLIENTA POCZTOWEGO

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

DESlock+ szybki start

PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH. KL IV TI 6 godziny tygodniowo (6x15 tygodni =90 godzin ),

Minimalna wspierana wersja systemu Android to zalecana 4.0. Ta dokumentacja została wykonana na telefonie HUAWEI ASCEND P7 z Android 4.

Oferta CyberTrick CarSharing

Autoryzacja zleceń z użyciem aplikacji Java Web Start "Pocztowy24Podpis"

ActiveXperts SMS Messaging Server

9. Internet. Konfiguracja połączenia z Internetem

Analiza Trojana NotCompatible.C

PRZEWODNIK DLA KLIENTA

Instrukcja instalacji aplikacji i konfiguracji wersji sieciowej. KomKOD

Kurier DPD dla Subiekt GT

INSTRUKCJA INSTALACJI OPROGRAMOWANIA MICROSOFT LYNC 2010 ATTENDEE ORAZ KORZYTANIA Z WYKŁADÓW SYNCHRONICZNYCH

Bezpieczeństwo usług oraz informacje o certyfikatach

IG1: INSTALACJA KOMUNIKATORA GADU-GADU

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Instrukcja konfiguracji programu Fakt z modułem lanfakt

SERWER AKTUALIZACJI UpServ

Zdalne zarządzanie systemem RACS 5

Oprogramowanie OpenVPN jest oprogramowaniem darmowym, które można pobrać ze strony:

Moduł integrujący serwis Korporacji Kurierskiej z programem WF-MAG Instrukcja użytkowania

Instrukcja obsługi serwera FTP v

Analiza aktywności złośliwego oprogramowania Njw0rm

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

Instrukcja pobrania i instalacji. certyfikatu Microsoft Code Signing. wersja 1.4

Stacja graficzna szkoleniowa typ A1, A2, B - Procedura odbioru sprzętu

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

komunikator na platformę Android wspierający protokół GG

Sposoby tworzenia projektu zawierającego aplet w środowisku NetBeans. Metody zabezpieczenia komputera użytkownika przed działaniem apletu.

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

Snifery wbudowane w Microsoft Windows

Tytuł: Instrukcja obsługi Modułu Komunikacji internetowej MKi-sm TK / 3001 / 016 / 002. Wersja wykonania : wersja oprogramowania v.1.

Serwery. Autorzy: Karol Czosnowski Mateusz Kaźmierczak

Instalacja aplikacji

Program dla praktyki lekarskiej

Instrukcja instalacji

Najczęściej występujące problemy z instalacją i konfiguracją i ich rozwiązania.

Pobieranie komunikatów GIF

Aplikacja do podpisu cyfrowego npodpis

Warszawa, 22 marca Wstęp

Wireshark analizator ruchu sieciowego

Zasady dotyczące plików cookies i innych podobnych technologii. 1. Jaki jest zakres tych Zasad?

Bezpieczny system poczty elektronicznej

Laboratorium 3.4.2: Zarządzanie serwerem WWW

Internetowy serwis Era mail Aplikacja sieci Web

INSTALACJA I KONFIGURACJA Instalacja systemu WF-Mag Mobile 2

APLIKACJA BEZPIECZNY INTERNET TOYA dla systemów Android

Program GroupWise WebAccess interfejs podstawowy

Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Instrukcja instalacji oraz obsługi czytników i kart procesorowych dla Klientów SBI Banku BPH S.A.

Graficzny terminal sieciowy ABA-X3. część druga. Podstawowa konfiguracja terminala

INSTRUKCJA OTWARCIA RACHUNKU ALIOR TRADER PRZEZ INTERNET

epuap Archiwizacja w Osobistym Składzie Dokumentów

Kalipso wywiady środowiskowe

Przykładowa konfiguracja konta pocztowego w programie Thunderbird z wykorzystaniem MKS 2k7 (MS Windows Vista Busissnes)

Instrukcja instalacji Control Expert 3.0

Konfiguracja poczty IMO dla urządzeń mobilnych z systemem ios oraz Android.

Transkrypt:

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY 4 sierpnia 2014 r. W dniach 1 do 4 sierpnia 2014 r. poddaliśmy analizie oprogramowanie złośliwe podszywające się pod aplikację antywirusową Kaspersky, skierowaną na klientów bankowości internetowej w Polsce użytkowników urządzeń mobilnych z systemem Android. Niniejszy dokument zawiera wyniki technicznej analizy oprogramowania rozsyłanego do użytkowników w ramach kampanii mającej na celu infekcję urządzeń użytkowników. Oprogramowanie to było rozsyłane za pośrednictwem wiadomości e-mail, jako załącznik kaspersky.apk do zainstalowania na urządzeniu mobilnym ofiary. Nazwa aplikacji: com.zero1.sandrorat Wersja aplikacji: 1.5.2 Suma kontrolna MD5 aplikacji (paczka instalacyjna): 6DF6553B115D9ED837161A9E67146ECF Aplikacja została utworzona na platformę Android 4.2, minimalna wersja systemu na którym aplikacja się uruchomi to Android 2.2. Kod źródłowy aplikacji został napisany w języku Java oraz został poddany zaciemnianiu. Nie stwierdzono, aby aplikacja korzystała z przywilejów root a, lub przeprowadzała próby rootowania urządzenia. Ze względu na możliwość instalacji dodatkowych aplikacji nie można jednak wykluczyć, że intruz może próbować doinstalować aplikacje, których celem będzie eskalacja uprawnień. Lista uprawnień wymaganych przez aplikację: PREVENITY 2014 Strona 1

Aplikacja tworzy trzy usługi systemowe: oraz uruchamia się wraz ze startem systemu Android (BOOT_COMPLETED) lub przy każdorazowej zmianie stanu połączenia z siecią Internet (CONNECTIVITY_CHANGED): Po uruchomieniu aplikacja wyświetla użytkownikowi ekran z jednym przyciskiem, natomiast w tle uruchamia usługę com.zero1.sandrorat.controller. Następnie, po odbiorze jednego z wymienionych wyżej zdarzeń (BOOT_COMPLETED lub CONNECTIVITY_CHANGED), aplikacja działa w następujący sposób (w uproszczeniu): 1) Jeżeli zostało otrzymane zdarzenie BOOT_COMPLETED, wówczas uruchamiana jest usługa com.zero1.sandrorat.controller, 2) W dalszych krokach, niezależnie od powyższego, jeżeli kontekst aplikacji jest dostępny (paramcontext!= false), wówczas uruchamiana jest usługa Controller (j.w.), w przeciwnym razie jest wysyłane żądanie HTTP POST (http://winrar.nstrefa.pl/path/devicemanager.php) z poleceniem func=unregisterdevice wraz z identyfikatorem urządzenia. 3) Odczytywana jest konfiguracja aplikacji z pliku SQLite (SandroRat_Configuration_Database): a. MASTER_IP <- adres IP serwera C&C b. MASTER_PORT <- nr portu serwera C&C Jeżeli nie można odczytać w/w informacji, wówczas przyjmowane są domyślne (winrar.dns.net:1800). 4) Aplikacja rejestruje się do odbioru komunikatów PHONE_STATE, 5) Aplikacja inicjuje klasy do rejestrowania rozmów telefonicznych, odczytu książki adresowej, zakładek i historii wbudowanej przeglądarki WWW, tworzenia lokalnych baz danych, odczytu lokalizacji użytkownika na podstawie GPS. Analiza statyczna wykazała, że funkcjonalności te PREVENITY 2014 Strona 2

nie są uruchamiane/wykorzystywane od razu po instalacji aplikacji, natomiast czekają one na realizację do czasu otrzymania komendy/polecenia z serwera C&C. Funkcje aplikacji inicjuje klasa Controller na podstawie otrzymywanych komend (identyfikatory int) oraz parametrów w postaci tablicy bajtów. Zidentyfikowano ok. 40 poleceń sterujących aplikacją, między innymi następujące polecenia: Zmiana adresu MASTER_IP, Zmiana portu MASTER_PORT, Włączenia/wyłączenia przechwytywania wiadomości SMS i odczytu skrzynki nadawczej/wysłanych wiadomości, Wysyłania wiadomości SMS, Odczytu danych kontaktowych, Odczytu zakładek i historii wbudowanej przeglądarki WWW, Włączenia/wyłączenia rejestrowania rozmów telefonicznych i otoczenia telefonu, Śledzenia informacji o realizowanych rozmowach telefonicznych, Enumeracji kont obecnych w systemie (com.google), Śledzenia lokalizacji użytkownika na podstawie danych z sensora GPS, Deszyfrowania wiadomości WhatsApp przechowywanych na urządzeniu, Pobrania i inicjacji instalacji dodatkowego oprogramowania z karty SD, Wymiany danych pomiędzy urządzeniem ofiary a serwerem C&C. Każde z poleceń jest potwierdzane przez aplikację odpowiedzią Ack (poprawne wykonanie) lub NAck (niepoprawne wykonanie/wystąpienie wyjątku). Przykładowo, po uruchomieniu aplikacja rejestruje się do odbioru następujących informacji: - wiadomości SMS - informacji o odbieranych lub wykonywanych połączeniach telefonicznych Analiza statyczna wykazała obecność następującego kodu do przechwytywania wiadomości SMS: PREVENITY 2014 Strona 3

Aplikacja tworzy bazę danych przechwyconych wiadomości SMS: Oraz bazę danych kontaktów: PREVENITY 2014 Strona 4

Rejestruje również aktualną lokalizację ofiary: Aplikacja nagrywa również pliki dźwiękowe (najprawdopodobniej rozmowy telefoniczne do potwierdzenia): Oraz śledzi wykonywane rozmowy telefoniczne: PREVENITY 2014 Strona 5

Aplikacja odczytuje zakładki oraz historię wbudowanej w systemie Android przeglądarki WWW: Które zapisuje w bazie danych: PREVENITY 2014 Strona 6

Oraz jest w stanie pobrać i zainicjować instalację dodatkowej aplikacji, którą uruchamia następnie z karty SD pod nazwą update.apk : Można było zidentyfikować, że w/w kod bazuje na kodzie udostępnionym w serwisie StackOverflow: http://stackoverflow.com/questions/4967669/android-install-apk-programmatically Podsumowując powyższe, wykryto co najmniej następujące bazy danych tworzone przez aplikację: Wykryto obecne co najmniej dwa zaszyte w aplikacji adresy serwerów: Do pierwszego z wymienionych adresów (winrar.ddns.net, port 1800) tworzone jest połączenie socketowe. PREVENITY 2014 Strona 7

Na drugi z wymienionych adresów (http://winrar.nstrefa.pl/path/) nawiązywana jest większość komunikacji, po protokole HTTP. W aplikacji wykryto zaszyte następujące klucze szyfrujące: Analiza aplikacji wykazała, że są one wykorzystywane przez malware do deszyfrowania wiadomości komunikatora Whatsapp, jeżeli są one przechowywane na urządzeniu użytkownika (/mnt/sdcard/whatsapp/databases/msgstore.db.crypt5). Podsumowując, przeanalizowana próbka jest typowym oprogramowaniem złośliwym typu koń trojański z rozbudowaną funkcjonalnością dostępu zdalnego do urządzenia ofiary. PREVENITY 2014 Strona 8

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres