- Android.Xiny.19.origin
- Android.Xiny.9 в Android Auto после обновления из Google Play
- #1 cubic
- #2 Whispersmith
- #3 cubic
- #4 Whispersmith
- #5 ele0106
- #6 Amilo
- Еще один [почти] неудаляемый троянец под Android
- Android 5.1? В 2019 году?
- Основные функции троянца
- Установщик
- Модифицированная системная библиотека libc.so
- Как бороться с таким троянцем?
Android.Xiny.19.origin
Добавлен в вирусную базу Dr.Web: 2016-01-29
Описание добавлено: 2016-01-28
Троянская программа, предназначенная для работы на Android-устройствах. Встроена злоумышленниками в различные игры, которые распространялись через каталог Google Play.
Android.Xiny.19.origin отправляет на управляющий сервер следующую информацию:
- IMEI;
- IMSI;
- сведения о мобильном операторе;
- имеется ли на устройстве SD-карта;
- страна;
- язык;
- MAC-адрес устройства;
- версия ОС;
- имя пакета и версия приложения, в которое встроен троянец;
- установлено ли приложение в системную область.
По команде сервера троянец может выполнять следующие действия:
- показывать навязчивую рекламу;
- загружать и с помощью специальных уведомлений предлагать установку приложений;
- при наличии root-доступа устанавливать и удалять программы;
- запускать произвольные apk-файлы, спрятанные внутри загружаемых с управляющего сервера изображений.
Запуск apk-файлов реализован следующим образом. Android.Xiny.19.origin скачивает с удаленного узла специально сформированное изображение, в котором с использованием стеганографии скрыт соответствующий файловый объект. При помощи специального алгоритма троянец извлекает apk-файл:
после чего с использованием класса DexClassLoader загружает его в память.
Источник
Android.Xiny.9 в Android Auto после обновления из Google Play
#1 cubic
#2 Whispersmith
cubic, здравствуйте. Уточните, пожалуйста, вирусные базы у вас обновлены?
#3 cubic
Спасибо за то, что обратили внимание на мою тему, и спасибо за то, что задали наводящий вопрос.
#4 Whispersmith
cubic, никаких беспокойств, рады, что смогли помочь. Нам известна была эта проблема, поэтому решение для нее было тоже известно.
антивирус сообщил, что обновление не требуется.
Вирусные базы обновляются автоматически 4 раза в сутки, возможно у вас просто не так давно было обновление и поэтому не было сообщения о необходимости обновиться повторно.
при помощи кнопки «Игнорировать», а антивирус после нажатия на эту кнопку выдавал сообщение о том, что угроза не устранена — это тоже сбивает с толку.
По идее там сообщение Проигнорировано.
Если у вас будет воспроизводиться подобное, напишите, пожалуйста, еще раз.
#5 ele0106
Здравствуйте, Whispersmith.
Спасибо за то, что обратили внимание на мою тему, и спасибо за то, что задали наводящий вопрос.
Большое Вам спасибо. У меня была точно такая проблема, очень мне помогли, а то я уже испугалась и не знала что делать!
#6 Amilo
Здравствуйте, Whispersmith.
Спасибо за то, что обратили внимание на мою тему, и спасибо за то, что задали наводящий вопрос.
Всё дело действительно оказалось в вирусных базах, но я хочу написать об этом поподробнее.
Как вы правильно подумали, базы у меня не были самыми новыми, но я и не думал о том, что в Dr.Web для Android вирусные базы нужно обновлять ВРУЧНУЮ: я думал, что мой антивирус загружает новейшие базы автоматически, и мне самому для этого ничего делать не надо.
Кроме того, для того, чтобы вручную обновить базы до самых новейших, мне надо было закрыть экран с сообщением об обнаружении вредоносной программы (показан на моём скриншоте) при помощи кнопки «Игнорировать», а антивирус после нажатия на эту кнопку выдавал сообщение о том, что угроза не устранена — это тоже сбивает с толку.
Также, перед обновлением, когда я выбрал в главном меню антивируса пункт «Вирусные базы», мне выдалось сообщение о том, что обновление НЕ ТРЕБУЕТСЯ, хотя в этом сообщении и присутствовала кнопка «Обновить», и после её нажатия, вирусные базы таки обновились, хотя, повторяю, антивирус сообщил, что обновление не требуется.
После обновления баз я произвёл полное сканирование всего устройства, и на этот раз никаких вредоносных программ обнаружено не было.
Я ещё раз хочу поблагодарить вас за оказанное мне внимание. Также хочу попросить прощения за то, что побеспокоил вас, а также других читателей форума, и сам не догадался о проведении процедуры обновления баз. А ещё хочу сказать спасибо за то, что сняли моё беспокойство: я давно уже пользуюсь антивирусами для мобильных устройств, но у меня такая ситуация возникла в первый раз.
Источник
Еще один [почти] неудаляемый троянец под Android
В конце прошлого года с помощью функции обнаружения изменений в системной области у некоторых наших пользователей было зафиксировано изменение системного файла /system/lib/libc.so. Это одна из главных библиотек операционных систем на базе Linux, которая отвечает за системные вызовы и основные функции. Подробное рассмотрение этого случая позволило выявить новые образцы из семейства троянцев Android.Xiny, известного нам с 2015 года.
У его представителей мы впервые увидели установку атрибута «неизменяемый» на файлы, что существенно усложняло удаление троянцев с устройств.
Выглядело это довольно занятно: на apk-файл установленного приложения ставился указанный атрибут, попытка удалить это приложение выглядела успешной, его данные удалялись, но сам apk-файл оставался на месте. После перезагрузки устройства приложение снова «появлялось». Об одном из таких троянцев мы рассказали в 2016 году. Для борьбы с подобными угрозами мы добавили в наш антивирус функцию сброса атрибутов у файлов, которая работает при условии, что пользователь предоставил антивирусу root-полномочия.
В этой статье мы рассмотрим еще один интересный метод самозащиты, применяемый новыми версиями Android.Xiny.
Android 5.1? В 2019 году?
Троянец, рассматриваемый в данной статье, работает под ОС Android до версии 5.1 включительно. Может показаться странным, что вредоносное ПО, рассчитанное на столь «древние» версии Android, всё ещё активно (версия 5.1 вышла в 2015 году). Но, несмотря на свой возраст, старые версии всё ещё используются. По данным корпорации Google на 7 мая 2019 года, 25.2% устройств работают под управлением Android 5.1 и ниже. Статистика по нашим пользователям даёт чуть большее число — около 26%. Это значит, что около четверти всех Android-устройств являются потенциальными целями, что не так уж и мало. Учитывая, что указанные устройства подвержены уязвимостям, которые никогда не будут исправлены, неудивительно, что старые версии ОС Android всё ещё представляют интерес для вирусописателей. Ведь права root, которые можно получить с помощью эксплуатации упомянутых уязвимостей, развязывают вирусописателям руки — с их помощью можно делать на устройстве всё что угодно. Хотя чаще всего это сводится к банальной установке приложений.
Основные функции троянца
Начиная с самых ранних версий, главная функция троянца Android.Xiny — установка на устройство произвольных приложений без разрешения пользователя. Таким образом злоумышленники могут зарабатывать, участвуя в партнёрских программах, которые платят за установку. Насколько можно судить, это один из основных источников дохода для создателей данного семейства. После запуска некоторых его представителей можно за несколько минут получить практически неработоспособное устройство, на котором будет установлено и запущено множество безвредных, но ненужных пользователю приложений. Кроме того, данные троянцы могут устанавливать и вредоносное ПО — всё зависит от команды, полученной с управляющего сервера.
Самое интересное, что выделяет новые версии троянца Android.Xiny — это защита от удаления. За неё отвечают два компонента. Рассмотрим их подробнее.
Установщик
sha1: f9f87a2d2f4d91cd450aa9734e09534929170c6c
детект: Android.Xiny.5261
Данный компонент запускается после получения прав root. Он подменяет собой системные файлы /system/bin/debuggerd и /system/bin/ddexe, чтобы обеспечить свой автоматический запуск, а оригиналы сохраняет под именами с суффиксом _server, действуя как классический вирус-компаньон. Также он копирует в системный раздел ещё несколько исполняемых файлов из папки, переданной в параметрах командной строки. Кроме того, троянец может обновлять компоненты, которые установил в системный раздел, если его запустить с особыми параметрами и указать папку, где лежат новые версии.
Android.Xiny.5261 содержит внушительный список файлов для удаления. В него входят пути, характерные для более старых представителей семейства, а также для конкурирующих семейств троянцев, устанавливающихся в системный раздел. Таких как, например, Triada.
Кроме того, Android.Xiny.5261 удаляет некоторые предустановленные приложения — возможно, чтобы освободить место. Наконец, он удаляет известные приложения для управления правами root – такие как SuperSU, KingRoot и другие. Таким образом, он лишает пользователя возможности использовать root-права, а значит, и удалить троянские компоненты, установленные в системный раздел.
Модифицированная системная библиотека libc.so
sha1: 171dba383d562bec235156f101879223bf7b32c7
детект: Android.Xiny.5260
Этот файл заинтересовал нас больше всего, и с него началось это исследование. При беглом взгляде на него в hiew можно заметить наличие исполняемого кода ближе к концу в секции .data, что подозрительно.
Открываем файл в IDA и смотрим, что это за код.
Выясняется, что в данной библиотеке были изменены следующие функции: mount, execve, execv, execvp, execle, execl, execlp.
Код изменённой функции mount:
int __fastcall mount ( const char * source , const char * target , const char * filesystemtype , unsigned int mountflags , const void * data )
<
unsigned __int8 systemPath [ 19 ] ; // [sp+18h] [bp-1Ch]
bool receivedMagicFlags ; // [sp+2Bh] [bp-9h]
int v13 ; // [sp+2Ch] [bp-8h]
v13 = MAGIC_MOUNTFLAGS ; // 0x7A3DC594
receivedMagicFlags = mountflags == MAGIC_MOUNTFLAGS ;
if ( mountflags == MAGIC_MOUNTFLAGS )
mountflags = 0x20 ; // MS_REMOUNT
if ( receivedMagicFlags )
return call_real_mount ( source , target , filesystemtype , mountflags , data ) ;
if ( mountflags & 1 ) // MS_RDONLY
return call_real_mount ( source , target , filesystemtype , mountflags , data ) ;
if ( getuid_ ( ) ) // not root
return call_real_mount ( source , target , filesystemtype , mountflags , data ) ;
memCopy ( systemPath , ( unsigned __int8 * ) off_73210 + 471424 , 8 ) ; // /system
decrypt ( systemPath , 8 ) ;
if ( memCompare ( ( unsigned __int8 * ) target , systemPath , 8 ) || ! isBootCompete ( ) )
return call_real_mount ( source , target , filesystemtype , mountflags , data ) ;
* ( _DWORD * ) errno_ ( ) = 13 ;
return — 1 ;
>
В начале тут происходит проверка параметра mountflags на наличие «волшебного» значения 0x7A3DC594. Если функции передано это значение, управление сразу передаётся настоящей функции mount. Далее проверяется, происходит ли попытка перемонтировать раздел /system на запись и завершена ли загрузка ОС. Если эти условия выполняются, настоящая функция mount не вызывается и возвращается ошибка. Таким образом, модифицированная троянцем функция mount не даёт перемонтировать системный раздел на запись никому, кроме самого троянца, который вызывает её с «волшебным» параметром.
Код изменённой функции execve (в остальных exec*-функциях всё аналогично):
int __fastcall execve ( const char * filename , char * const argv [ ] , char * const envp [ ] )
<
int v3 ; // r3
if ( targetInDataOrSdcard ( filename ) >= 0 ) // returns -1 if true
<
sub_7383C ( ) ;
v3 = call_real_execve ( filename , argv , envp ) ;
>
else
<
* ( _DWORD * ) errno_ ( ) = 13 ;
v3 = — 1 ;
>
return v3 ;
>
int __fastcall targetInDataOrSdcard ( const char * path )
<
char buf [ 516 ] ; // [sp+8h] [bp-204h]
if ( isDataOrSdcard ( path ) )
return — 1 ;
if ( * path == ‘.’ && getcwd_ ( buf , 0x200u ) && isDataOrSdcard ( buf ) )
return — 1 ;
return 0 ;
>
Здесь проверяется, начинается ли путь к запускаемому файлу с «/data/» и содержит ли «/sdcard». Если одно из условий выполняется, запуск блокируется. Напомним, что по пути /data/data/ находятся директории приложений. Таким образом блокируется запуск исполняемых файлов из всех директорий, в которых обычное приложение может создать файл.
Изменения, внесённые в системную библиотеку libc.so, нарушают работу приложений, предназначенных для получения прав root. Из-за изменений в функциях exec* такое приложение не сможет запустить эксплойты для повышения привилегий в системе, поскольку обычно эксплойты представляют собой исполняемые файлы, которые скачиваются из сети в директорию приложения и запускаются. Если же повысить привилегии всё-таки удалось, изменённая функция mount не даст перемонтировать системный раздел на запись, а значит, и произвести в нём какие-либо изменения.
В итоге, самозащита троянца складывается из двух частей: его установщик удаляет приложения для управления root-правами, а модифицированная библиотека libc.so не даёт установить их снова. Кроме того, эта защита работает и от «конкурентов» — других троянцев, которые получают права root и устанавливаются в системный раздел, поскольку они работают по тому же принципу, что и «хорошие» приложения для получения прав root.
Как бороться с таким троянцем?
Чтобы избавиться от Android.Xiny.5260, устройство можно перепрошить – при условии, что в открытом доступе существует прошивка для него. Но можно ли удалить вредоносную программу другим способом? Сложно, но можно – есть несколько путей. Для получения прав root можно использовать эксплойты в виде so-библиотек. В отличие от исполняемых файлов, их загрузку троянец не заблокирует. Также можно воспользоваться компонентом самого троянца, который предназначен для предоставления root-прав другим его частям. Он получает команды через сокет по пути /dev/socket/hs_linux_work201908091350 (в разных модификациях путь может отличаться). Что касается обхода блокировки mount, можно использовать «волшебное» значение параметра mountflags, либо напрямую вызвать соответствующий syscall.
Реализовывать я это, конечно, не буду.
Если ваше устройство подхватит такого троянца, мы рекомендуем использовать официальный образ операционной системы для его перепрошивки. Однако не забывайте, что при этом удалятся все пользовательские файлы и программы, поэтому заранее позаботьтесь о создании резервных копий.
Источник
