Android-бэкдор под видом OpenGL Plugin

18.07.2019 13:05

Как сообщила компания «Доктор Веб», в Google Play выявлен новый троянец-бэкдор, который выполняет команды злоумышленников, позволяет им дистанционно управлять инфицированными Android-устройствами и шпионить за пользователями. Троянец получил имя Android.Backdoor.736.origin. Он распространяется под видом приложения OpenGL Plugin для проверки версии графического интерфейса OpenGL ES и загрузки его обновлений.

При запуске программа запрашивает доступ к нескольким важным системным разрешениям, которые позволят ей собирать конфиденциальную информацию и работать с файловой системой. Кроме того, Android.Backdoor.736.origin пытается получить допуск к показу экранных форм поверх интерфейса других программ.

В окне вредоносного приложения имеется кнопка для «проверки» обновлений графического программного интерфейса OpenGL ES. После ее нажатия троянец имитирует процесс поиска новых версий OpenGL ES, однако на самом деле никаких проверок он не выполняет. Когда жертва закрывает окно приложения, Android.Backdoor.736.origin убирает свой значок из списка программ меню главного экрана и создает ярлык для своего запуска – чтобы в дальнейшем пользователю было сложнее удалить троянца, поскольку удаление ярлыка не затронет саму вредоносную программу.

Android.Backdoor.736.origin постоянно активен в фоновом режиме и может запускаться не только через значок или ярлык, но и автоматически при старте системы либо по команде злоумышленников через Firebase Cloud Messaging. Основной вредоносный функционал троянца расположен во вспомогательном файле, который зашифрован и хранится в каталоге с ресурсами программы. Он расшифровывается и загружается в память при каждом старте Android.Backdoor.736.origin.

Бэкдор поддерживает связь с несколькими управляющими серверами, откуда получает команды и куда отправляет собранные данные. Кроме того, киберпреступники могут управлять троянцем через сервис Firebase Cloud Messaging.

Android.Backdoor.736.origin способен выполнять следующие действия:

передавать на сервер информацию о контактах из телефонной книги, об СМС-сообщениях (в исследованной версии троянца для этого нет необходимых разрешений), о телефонных вызовах и о местоположении устройства;

загружать и запускать apk- или dex-файл с использованием класса DexClassLoader;

передавать на сервер сведения об установленных программах, о файлах в заданном каталоге или файлах на карте памяти;

загружать файл с сервера, отправлять заданный файл на сервер, скачивать и запускать исполняемый файл;

запускать активность, заданную в команде, загружать и устанавливать Android-приложение;

выполнять shell-команду, показывать уведомление, заданное в команде, запрашивать заданное в команде разрешение;

передавать на сервер список разрешений, предоставленных троянцу;

не позволять устройству переходить в спящий режим в течение заданного времени.

Все передаваемые на сервер данные троянец шифрует алгоритмом AES. Каждый запрос защищается уникальным ключом, который генерируется с учетом текущего времени. Этим же ключом шифруется ответ сервера.

Android.Backdoor.736.origin способен устанавливать приложения сразу несколькими способами:

автоматически, если в системе есть root-доступ (с использованием shell-команды);

при помощи системного менеджера пакетов (только для системного ПО);

показав стандартный системный диалог установки программ, где пользователь должен согласиться на инсталляцию.

Таким образом, этот бэкдор представляет серьезную опасность. Он не только занимается кибершпионажем, но может использоваться и для фишинга, так как способен показывать окна и уведомления с любым содержимым. Кроме того, он может загружать и устанавливать любые другие вредоносные приложения, а также выполнять произвольный код. Например, по команде злоумышленников Android.Backdoor.736.origin может скачать и запустить эксплойт для получения root-полномочий, поле чего ему уже не потребуется участие пользователя для инсталляции других программ.

Компания «Доктор Веб» уведомила корпорацию Google о троянце, и на момент публикации материала он был удалён из Google Play.

www.bytemag.ru

Хроника

Последний вышедший номер

Читайте в номере:

Анализ соответствия человеко-машинного интерфейса автоматизированных рабочих мест персонала блочного пункта управления Ленинградской АЭС-2 современным подходам по проектированию

Многоуровневая оперативная оптимизация технологического режима установок подготовки нефти

Система мониторинга и прогнозирования скорости роста коррозионных повреждений резервуаров для хранения нефти и нефтепродуктов

Применение сетевых моделей в социальных, технических и биологических системах. I. Модели представления знаний

Готовится к печати

Читайте в номере:

Усовершенствованное управление технологическими процессами: зарождение и развитие, состояние и прогноз рынка, российская составляющая, тренды, проблемы импортозамещения

Обнаружение дефектов металлопроката с помощью модифицированной на основе физически-информированного градиентного анализа функции потерь YOLOv8

Методическое обеспечение САПР технологической оснастки в КОМПАС-3D

Функциональная безопасность и кибербезопасность систем противоаварийной автоматической защиты в составе АСУТП технологических процессов нефтепереработки

Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru

Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.

Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.

В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.

Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.