Analisando um malware direcionado a telefones celulares

malware-android A crescente proliferação de dispositivos móveis, a falta de sistemas de segurança nessas plataformas e O baixo nível de conscientização sobre as principais ameaças no ciberespaço transformou esses dispositivos em um excelente alvo para o cibercrime.

Foi observada uma “explos√£o” de software “malicioso”, projetada para “atingir” principalmente os sistemas operacionais m√≥veis e de acordo com uma pesquisa recente da empresa de seguran√ßa Sophos, na Austr√°lia e nos EUA. <‚Ķ>

As taxas de express√£o para o Android excedem as dos computadores.

A situação parece ser realmente crítica e há uma necessidade urgente de tomar as medidas apropriadas. Abaixo está a ação de um malware direcionado a um telefone celular por um especialista do Laboratório IB do Forensics do Grupo para ver como esses malwares realmente funcionam.

A an√°lise

H√° alguns meses, o Group-IB Forensics Lab localizou malware banc√°rio m√≥vel atrav√©s do Google Play com uma solicita√ß√£o ao Sberbank (o principal banco nacional da R√ļssia).

O arquivo associado ao malware foi chamado sber.apk. Era um pacote Android com tamanho 225.905 bytes e md5: F27D43DFEEDFFAC2EC7E4A069B3C9516.

A an√°lise da funcionalidade do agente foi descrita como SMSStealer.APK, projetado para infectar dispositivos Android.

Dissecando um malware móvel

A primeira etapa é descompactar o arquivo e converter o arquivo chamado classes.dex de dex para Jar, usando o Java Decompiler.

Ap√≥s a instala√ß√£o, eles exibem a seguinte interface gr√°fica usada para solicitar a permiss√£o do usu√°rio, com um processo de verifica√ß√£o via n√ļmero de telefone.

Dissecando um malware móvel

Depois de inserir o n√ļmero de telefone e pression√°-lo ¬ęFa√ßa autoriza√ß√£o¬Ľ o aplicativo envia informa√ß√Ķes para um servidor remoto com URL http: // berstaska.com/m/fo125kepro

Os dados enviados cont√™m o n√ļmero de telefone celular, o nome e a vers√£o do sistema operacional, o nome do provedor de servi√ßos, o c√≥digo m√≥vel do pa√≠s e muito mais.

Nesse momento, a pesquisa se concentra nos dom√≠nios maliciosos usados ‚Äč‚Äčpara coletar informa√ß√Ķes “berstaska.com” e “lekerdeka.com”, que s√£o “marcadas” e conhecidas pelos especialistas em seguran√ßa, porque foram usadas no passado por dispon√≠vel no malware Carberp.

Os dados relacionados aos domínios são:

  • Nome do dom√≠nio: BERSTASKA.COM
  • Registrante:

    N / D

    merab mekokayan (gooddoctor222289@yahoo.com)

    sk 8 box18

    Nova Iorque

    , 334777

    NOS

    Tel. +1.3049583484

    Data de criação: 26 de outubro de 2012

    Data de validade: 26-Oct-2013

    Servidores de domínio na ordem listada:

    dc1.nserver.ru

    dc2.nserver.ru

  • Nome do dom√≠nio: LEKERDEKA.COM
  • Registrante:

    N / D

    Sergey Bezumov (gooddoctor222299@yahoo.com)

    CAIXA DE PU 81 l 92

    Nova Iorque

    , 325236

    NOS

    Tel. +1.33873847374

    Data de criação: 26 de outubro de 2012

    Data de validade: 26-Oct-2013

    Servidores de domínio na ordem listada:

    dc1.nserver.ru

    dc2.nserver.ru

    Os dois nomes de dom√≠nio est√£o vinculados aos servidores de nomes nserver.ru e s√£o an√īnimos. De acordo com o banco de dados MalwareURL e o Group-IB Bot-Trek, mais de vinte Carberp C & C (servidores de comando e controle) s√£o conectados pelo DNS da organiza√ß√£o e t√™m seus servidores como pontos de extremidade.

    Dissecando um malware móvel

    No momento do estudo, “berstaska.com” n√£o estava dispon√≠vel.

    Dissecando um malware móvel

    O malware detecta a operação de envio e recebimento de SMS usando o seguinte programa de manipulação de eventos:

    Dissecando um malware móvel

    As mensagens recebidas s√£o processadas e armazenadas no formato apropriado em um arquivo chamado messages.txt e podem ser enviadas para o servidor remoto acima. Al√©m disso, o programa registra e monitora suas a√ß√Ķes em um arquivo chamado alarms.txt.

    Dissecando um malware móvel

    Esse golpe √© baseado no monitoramento do SMS usado durante o processo de autentica√ß√£o e pode ser muito √ļtil para o setor banc√°rio. Os bancos nos EUA e no Canad√°, assim como outras institui√ß√Ķes financeiras, usam c√≥digos de senha de uso √ļnico, que s√£o enviados via SMS e √© claro que um invasor pode realizar muitos atos maliciosos.

    Muitas empresas, como o Grupo IB, notaram que os hackers est√£o come√ßando a vender essas ferramentas no “mercado negro” on-line totalmente adaptado e direcionado a bancos espec√≠ficos.