זוהה סוס טרויאני לאנדרואיד המזריק קוד זדוני לספריות מערכת הפעלה
מאת: מערכת Telecom News, 12.6.17, 12:40

הפוגען הורד 60 אלף פעמים.

חוקרים זיהו לראשונה סוס טרויאני לאנדרואיד, שלטענתם מזריק קוד זדוני לספריות מערכת ההפעלה.

הפוגען הועלה לחנות היישומים של גוגל, ולאחר שהחברה קיבלה את הדיווח מהחוקרים, הוסר ממנה, לא לפני שהורד 60 אלף פעמים מאז מרץ האחרון.

הפוגען הוסווה כמשחק פאזל בשם.colourblock  הוא מתקין יישום זדוני בשם .“com.qualcmm.timeservices”

התוקף השתמש בשיטת הסוואה מעניינת כדי לעקוף את בדיקות האבטחה של גוגל. הוא העלה לחנות אפליקציה נקייה במרץ 2017, לאחר מכן העלה כעדכון גרסה זדונית לפרק זמן קצר ואז העלה גרסה נקייה שוב, בד"כ אותו יום.

התהליך הנ"ל בוצע 5 פעמים בטווח של 4 שבועות. כשהפוגען מתחיל לרוץ, הוא מנסה להשיג הרשאות אדמין ROOT כדי להתקין קוד, בין השאר, בספריות מערכת ההפעלה.

הפוגען עושה שימוש ב-4 מודולים שונים להשגת  ,ROOT 3 מתאימים לאנדרואיד 31 ביט ו-1 מתאים לאנדרואיד 56 ביט. הקוד הזדוני, שמוזרק למכשיר, מחליף בסופו של דבר קובץ מערכת הפעלה. כך, שיישומים, שמסתמכים על פונקציונליות הכלולה בקובץ זה, עלולים שלא לפעול ואף להביא לקריסת מערכת ההפעלה.

כאשר הקובץ הזדוני מורץ, הוא יכול לנטרל את האפשרות לבדיקת היישומים  "   “VerifyAppsלאפשר הורדת יישומים גם מחנויות צד ג', ולתת ליישום הזדוני הרשאותDevice Admin  ללא מעורבות של המשתמש.

פירוט:

מומחי מעבדת קספרסקי הם אלה שחשפו את הטרויאני החדש והייחודי, שמופץ דרך חנות האפליקציות של גוגל וכינו אותו Dvmap. Dvmap מופץ, כאמור, כמשחק בחנות גוגל פליי.  

הופעתן של יכולות להזרקת קוד היא התפתחות מסוכנת בעולם הקוד הזדוני למובייל. פעולה כזו יכולה לשמש להפעלת מודולים של קוד זדוני אפילו לאחר מחיקת הגישה לליבה. בכך, כל פתרון אבטחה ואפליקציית בנקאות המתבססים על מאפיינים לזיהוי פריצה לליבה, שיותקנו לאחר ההדבקה, לא יזהו את נוכחות הקוד הזדוני. 

החוקרים הבחינו, שהקוד הזדוני Dvmap עוקב ומדווח על כל תנועה שלו אל שרת הפיקוד והשליטה – למרות שהשרת לא ענה עם הוראות. הדבר מצביע על כך, שהקוד הזדוני עדיין לא מוכן ומבצעי לחלוטין. 

חוקרי קספרסקי מפרטים, שהטרויאני Dvmap מתקין את עצמו על גבי מכשיר הקורבן ב-2 שלבים. במהלך השלב הראשון, הקוד הזדוני מנסה לקבל הרשאות גישה לליבת המכשיר. אם הוא מצליח, הוא יתקין מספר כלים, שחלק מהם מכילים הערות בשפה הסינית. אחד מהמודולים האלה הוא, כאמור, אפליקציה, com.qualcmm.timeservices, שמחברת את הטרויאני לשרת הפיקוד והשליטה שלו. עם זאת, במהלך תקופת החקירה של הקוד הזדוני, לא נשלחו שום  פקודות בחזרה. 

בשלב המרכזי של ההדבקה, הטרויאני מפעיל קובץ "התחלה", בודק את גרסת האנדרואיד המותקנת, ומחליט לאיזו ספריה להזריק את הקוד שלו. הצעד הבא, החלפת הקוד הקיים בקוד הזדוני, יכול לגרום למכשיר המודבק לקרוס. 

ספריות המערכת המעודכנות מפעילות מודול זדוני, שיכול לכבות את מאפיין ה-VerifyApps. לאחר מכן הוא מפעיל הגדרת Unknown sources, שמאפשרת לו להתקין אפליקציות מכל מקום, לא רק מחנות גוגל פליי. אלו יכולות להיות אפליקציות לפרסום בלתי מורשה או יישומים זדוניים.

למשתמשים המודאגים, שהודבקו ע"י Dvmap, מומלץ לגבות את כל הנתונים שלהם ולבצע אתחול להגדרות המפעל. בנוסף, מעבדת קספרסקי מייעצת לכל המשתמשים להתקין פתרון אבטחה אמין, כגון Kaspersky Internet Security for Android החינמי, ותמיד לבדוק כי אפליקציות נוצרו ע"י מפתח מוכר, לשמור את מערכת ההפעלה והאפליקציות מעודכנות, ולא להוריד שום דבר שנראה חשוד או שלא ניתן לאמת את המקור שלו. 

רומן אונצ'ק, אנליסט קוד זדוני בכיר, מעבדת קספרסקי: "הטרויאני Dvmap מסמן התפתחות חדשה בקוד הזדוני של אנדרואיד, כשהקוד הזדוני מזריק את עצמו לתוך ספריות המערכת, שם קשה יותר לזהות ולהסיר אותו. למשתמשים, שלא מפעילים אמצעי אבטחה כדי לזהות ולחסום את האיום לפני שהוא פורץ פנימה, צפויים זמנים קשים. אנו מאמיני, שחשפנו את הקוד הזדוני בשלב מוקדם מאוד. הניתוח שלנו מראה, שהמודולים הזדוניים מדווחים לתוקפים על כל מהלך, וחלק מהטכניקות שבשימוש יכולות לגרום להשבתת המכשיר הנגוע. זמן הוא גורם קריטי, אם אנו רוצים למנוע התקפה נרחבת ומסוכנת".

מידע נוסף – כאן.