Analisando um malware direcionado a telefones celulares

malware-android A crescente proliferação de dispositivos móveis, a falta de sistemas de segurança nessas plataformas e O baixo nível de conscientização sobre as principais ameaças no ciberespaço transformou esses dispositivos em um excelente alvo para o cibercrime.

Foi observada uma “explosão” de software “malicioso”, projetada para “atingir” principalmente os sistemas operacionais móveis e de acordo com uma pesquisa recente da empresa de segurança Sophos, na Austrália e nos EUA. <…>

As taxas de expressão para o Android excedem as dos computadores.

A situação parece ser realmente crítica e há uma necessidade urgente de tomar as medidas apropriadas. Abaixo está a ação de um malware direcionado a um telefone celular por um especialista do Laboratório IB do Forensics do Grupo para ver como esses malwares realmente funcionam.

A análise

Há alguns meses, o Group-IB Forensics Lab localizou malware bancário móvel através do Google Play com uma solicitação ao Sberbank (o principal banco nacional da Rússia).

O arquivo associado ao malware foi chamado sber.apk. Era um pacote Android com tamanho 225.905 bytes e md5: F27D43DFEEDFFAC2EC7E4A069B3C9516.

A análise da funcionalidade do agente foi descrita como SMSStealer.APK, projetado para infectar dispositivos Android.

Dissecando um malware móvel

A primeira etapa é descompactar o arquivo e converter o arquivo chamado classes.dex de dex para Jar, usando o Java Decompiler.

Após a instalação, eles exibem a seguinte interface gráfica usada para solicitar a permissão do usuário, com um processo de verificação via número de telefone.

Dissecando um malware móvel

Depois de inserir o número de telefone e pressioná-lo «Faça autorização» o aplicativo envia informações para um servidor remoto com URL http: // berstaska.com/m/fo125kepro

Os dados enviados contêm o número de telefone celular, o nome e a versão do sistema operacional, o nome do provedor de serviços, o código móvel do país e muito mais.

Nesse momento, a pesquisa se concentra nos domínios maliciosos usados ​​para coletar informações “berstaska.com” e “lekerdeka.com”, que são “marcadas” e conhecidas pelos especialistas em segurança, porque foram usadas no passado por disponível no malware Carberp.

Os dados relacionados aos domínios são:

  • Nome do domínio: BERSTASKA.COM
  • Registrante:

    N / D

    merab mekokayan (gooddoctor222289@yahoo.com)

    sk 8 box18

    Nova Iorque

    , 334777

    NOS

    Tel. +1.3049583484

    Data de criação: 26 de outubro de 2012

    Data de validade: 26-Oct-2013

    Servidores de domínio na ordem listada:

    dc1.nserver.ru

    dc2.nserver.ru

  • Nome do domínio: LEKERDEKA.COM
  • Registrante:

    N / D

    Sergey Bezumov (gooddoctor222299@yahoo.com)

    CAIXA DE PU 81 l 92

    Nova Iorque

    , 325236

    NOS

    Tel. +1.33873847374

    Data de criação: 26 de outubro de 2012

    Data de validade: 26-Oct-2013

    Servidores de domínio na ordem listada:

    dc1.nserver.ru

    dc2.nserver.ru

    Os dois nomes de domínio estão vinculados aos servidores de nomes nserver.ru e são anônimos. De acordo com o banco de dados MalwareURL e o Group-IB Bot-Trek, mais de vinte Carberp C & C (servidores de comando e controle) são conectados pelo DNS da organização e têm seus servidores como pontos de extremidade.

    Dissecando um malware móvel

    No momento do estudo, “berstaska.com” não estava disponível.

    Dissecando um malware móvel

    O malware detecta a operação de envio e recebimento de SMS usando o seguinte programa de manipulação de eventos:

    Dissecando um malware móvel

    As mensagens recebidas são processadas e armazenadas no formato apropriado em um arquivo chamado messages.txt e podem ser enviadas para o servidor remoto acima. Além disso, o programa registra e monitora suas ações em um arquivo chamado alarms.txt.

    Dissecando um malware móvel

    Esse golpe é baseado no monitoramento do SMS usado durante o processo de autenticação e pode ser muito útil para o setor bancário. Os bancos nos EUA e no Canadá, assim como outras instituições financeiras, usam códigos de senha de uso único, que são enviados via SMS e é claro que um invasor pode realizar muitos atos maliciosos.

    Muitas empresas, como o Grupo IB, notaram que os hackers estão começando a vender essas ferramentas no “mercado negro” on-line totalmente adaptado e direcionado a bancos específicos.