Niebezpieczny trojan ukrywa się w oficjalnym firmware dla Androida

Android.Backdoor.114.origin jest znany analitykom Doctor Web już od dłuższego czasu — pierwszy raz ten trojan pojawił się ponad rok temu. Od tej pory wciąż stanowi wielkie zagrożenie dla użytkowników systemu Android, głównie dlatego, że bywa wbudowany bezpośrednio w firmware urządzenia mobilnego. W rezultacie usunięcie trojana stało się prawie niemożliwe z użyciem typowych narzędzi. Aby uwolnić się od złośliwego programu, użytkownik musi uzyskać uprawnienia root’, co może być trudne (lub nawet niebezpieczne) do zrealizowania. Inną drogą jest ponowna instalacja systemu operacyjnego, jednakże to może prowadzić do trwałej utraty wszystkich danych, które nie zostały zachowane w kopiach zapasowych.
To kolejna już fala złośliwych aplikacji. Czy Android Market pójdzie za przykładem androidowego Amazon Appstore i zacznie sprawdzać aplikacje przed publikacją? Tak robią też Apple i Microsoft.
To kolejna już fala złośliwych aplikacji. Czy Android Market pójdzie za przykładem androidowego Amazon Appstore i zacznie sprawdzać aplikacje przed publikacją? Tak robią też Apple i Microsoft.

We wrześniu analitycy bezpieczeństwa Doctor Web byli świadkami nowej infekcji wywołanej przez Android.Backdoor.114.origin. Właściciele Oysters T104 HVi 3G stali się ofiarami złośliwej aktywności tego backdoora — na ich urządzeniach malware ukrywało się w preinstalowanej aplikacji GoogleQuickSearchBox.apk. Mimo że producent został powiadomiony o problemie, do dziś oficjalna, dostępna do pobrania, wersja firmware nie przeszła żadnych zmian i wciąż zawiera w sobie backdoora. Android.Backdoor.114.origin pozyskuje i wysyła na serwer kontrolno-zarządzający informacje o zainfekowanym urządzeniu. W zależności od modyfikacji potrafi wysyłać cyberprzestępcom następujące dane:

  • Unikalny identyfikator zainfekowanego urządzenia
  • Adres MAC karty Bluetooth
  • Rodzaj zainfekowanego urządzenia (smartfon lub tablet)
  • Parametry z pliku konfiguracyjnego
  • Adres MAC
  • IMSI
  • Wersję złośliwej aplikacji
  • Wersję systemu operacyjnego
  • Wersję API urządzenia
  • Rodzaj połączenia sieciowego
  • Nazwę pakietu aplikacji
  • ID kraju
  • Rozdzielczość ekranu
  • Nazwę producenta urządzenia
  • Nazwę modelu
  • Ilość zajętego miejsca na karcie SD
  • Ilość wolnego miejsca na karcie SD
  • Ilość zajętego miejsca w pamięci wewnętrznej
  • Ilość wolnego miejsca w pamięci wewnętrznej
  • Listę aplikacji zainstalowanych w folderze systemowym
  • Listę aplikacji zainstalowanych przez użytkownika

Jednak głównym celem Android.Backdoor.114.origin jest skryte ładowanie, instalowanie i usuwanie aplikacji po otrzymaniu komendy z serwera kontrolno-zarządzającego. Co więcej, trojan potrafi aktywować wyłączoną opcję instalowania aplikacji z niepewnych źródeł. W ten sposób, nawet gdy użytkownik stosuje się do zalecanych reguł bezpieczeństwa, backdoor potrafi zmodyfikować ustawienia w celu instalacji programów reklamowych oraz niechcianych i niebezpiecznych aplikacji.

Analitycy bezpieczeństwa Doctor Web zalecają użytkownikom systemu Android przeprowadzanie okresowego skanowania antywirusowego swoich urządzeń pod kątem znanych złośliwych programów. Jeśli trojan lub inny złośliwy program zostanie wykryty w firmware, zaleca się skontaktowanie z producentem urządzenia w celu uzyskania poprawionego obrazu systemu operacyjnego, ponieważ w większości przypadków, usunięcie takiego malware z użyciem wbudowanych narzędzi (włączając oprogramowanie antywirusowe) jest niemożliwe.