IRCRE201303131
تاريخ: 27/12/91
شركت F-Secure در گزارشي اقدام به بررسي تهديدات موبايل در سهماهه چهارم سال 2012 كرده است. در ادامه، قسمت دوم اين گزارش را مطالعه ميكنيد.
بدافزارها
راه نفوذ مخفي: Android/FakeLook.A
FakeLook.A از قرار دادن آيكوني در منوي برنامهها خودداري ميكند تا حضور خود را از كاربر پنهان نمايد. البته ميتوان اين بدافزار را در گزينه Manage Applications در Settings در فهرست Updates مشاهده نمود.
FakeLook.A به يك سرور دستور و كنترل متصل شده و دستورات بعدي را دريافت ميكند. اين بدافزار اطلاعاتي مانند شناسه دستگاه و پيامهاي كوتاه را جمعآوري كرده، فهرست فايلها را از SD Card دريافت كرده و پيش از ارسال فايلها به يك سرور FTP با استفاده از نام كاربري ftpuser و كلمه عبور upload، فايلها را فشرده ميكند.
تروجان: Android/Citmo.A
Citmo.A نسخه موبايلي Carbep است كه يك تروجان بانكي است كه سيستمهاي شخصي را براي سرقت اطلاعات بانكي آلوده ميكند. عملكرد Citmo.A مشابه Zitmo (زئوس موبايلي) و Spitmo است. اين بدافزار پيامهاي كوتاه دريافتي را مانيتور كرده و شماره mTAN (احراز هويت انتقالات موبايل) را كه بانك به جهت اعتبارسنجي انتقالات آنلاين بانكي براي مشتريان خود ارسال ميكند، سرقت مينمايد.
تروجان: Android/EcoBatry.A
EcoBatry.A به محض نصب شدن مجوزهايي را درخواست ميكند كه به آن اجازه دسترسي يه اينترنت، دادههاي تماس و اطلاعات موجود بر روي دستگاه را ميدهد. سپس اين بدافزار يك ارتباط خروجي با يك سرور راه دور برقرار ميكند كه از طريق آن سرور، دستوراتي مبني بر جمعآوري اطلاعات تماس كاربر و ارسال اطلاعات به سرور صادر ميگردد.
تروجان: Android/FakeFlash.A
FakeFlash.A ظاهر يك برنامه فلش پلير معتبر را دارد. هنگامي كه اين بدافزار اجرا ميشود، پيغامي به كاربر نمايش ميدهد كه برنامه فلش پلير به طور موفقيتآميز نصب شده است و سپس كاربر را به وبسايت ديگري منتقل ميكند.
تروجان: Android/FakeGuard.A
FakeGuard.A بدافزاري است كه قادر به مديريت وروديهاي SMS/WAP Push است. اين بدافزار اطلاعات كاربر را سرقت كرده و ارتباطي با يك سرور راه دور برقرار ميكند. پاسخ دريافتي از اين سرور با استفاده از MS949 بازگشايي شده و دادههاي خروجي نيز با استفاده از EUC_KR كد ميشوند.
تروجان: Android/GeoFake.A و Android/GeoFake.B
GeoFake.A تحت عنوان يك برنامه تقويم چيني نصب ميشود، ولي مجوزهاي غيرضروري را در طول پروسه نصب درخواست ميكند. اين مجوزها شامل مديريت ليست حساب كاربري، دسترسي و استفاده از اطلاعات احراز هويت حساب كاربري، خواندن و ويرايش پيامهاي كوتاه يا پيامهاي چندرسانهاي، خواندن فايلهاي لاگ سيستم و دسترسي به اطلاعات موقعيت ميگردد.
زماني كه اين بدافزار بهصورت موفقيتآميز نصب ميگردد، پيامهاي كوتاهي ارسال ميكند كه سرويسهاي ارزش افزوده را فعال ميسازد. اين بدافزار با استفاده از Google Maps API انتخاب ميكند كه كدام سرويس ارزش افزوده بايد با توجه به موقعيت جغرافيايي دستگاه انتخاب گردد.
تروجان: Android/InfoStealer.A
InfoStealer.A به روشني توسط نام آن توضيح داده شده است. بدافزاري است كه اطلاعات تماس را سرقت كرده و به يك سرور MySQL راه دور ارسال ميكند. اطلاعات سرقت شده شامل شناسه دستگاه، آدرس ايميل، طول و عرض جغرافيايي، شماره تلفن، كد پستي، منطقه، خيابان و نام كاربري ميگردد.
تروجان: Android/MaleBook.A
MaleBook.A اطلاعات دستگاه را جمعآوري ميكند و براي چندين سرور راه دور ارسال ميكند اطلاعات جمعآوري شده شامل شناسه برنامه، نسخه برنامه، كد كشور، نام دستگاه، نوع دستگاه، طول و عرض دستگاه، شماره IMEI، شماره IMSI، زبان، نسخه سيستم عامل و نسخه SDK ميباشد.
بعلاوه اين بدافزار تلاش ميكند تبليغاتي را بر روي دستگاههاي آلوده دانلود نمايد.
تروجان: Android/Placsms.A
Placsms.A تحت عنوان sp_pay در منوي برنامهها ظاهر ميشود و در طول پروسه نصب، مجوزهايي براي دسترسي به اينترنت، پيامهاي كوتاه، محتوايات كارت SD و سيستم دستگاه درخواست ميكند.
اين برنامه اطلاعاتي مانند شماره IMEI و شماره تلفن را جمعآوري ميكند و سپس آنها را براي يك سرور راه دور ارسال مينمايد.
تروجان: Android/SMSAgent.A
SMSAgent.A بهصورت يك برنامه بازي به نظر ميرسد، ولي به طور بي سر و صدا فعاليتهاي خرابكارانهاي را در پسزمينه انجام ميدهد. اين بدافزار سعي ميكند فايلهاي خرابكار ديگري را از يك سرور راه دور دانلود نمايد و با ارسال پيامهاي كوتاه و پيامهاي چندرسانهاي، سرويسهاي ارزش افزوده گران قيمتي را فعال ميسازد.
تروجان: Android/Stesec.A
Stesec.A پس از نصب هيچ آيكوني در منوي برنامهها قرار نميدهد تا حضور خود را از كاربر پنهان نمايد. اين برنامه صرفاً از طريق گزينه Manage Applications در Settings تحت عنوان يك سرويس جديد قابل مشاهده است.
Stesec.A پيامهاي كوتاه حاوي اطلاعات دستگاه مانند شماره IMEI، نسخه نرمافزار و ساير اطلاعات را به يك سرور راه دور ارسال ميكند.
تروجان: Android/Stokx.A
Stokx.A به يك سرور راه دور متصل شده و يك فايل XML را دريافت ميكند. اين فايل حاوي اطلاعاتي مانند شناسه كلاينت، شماره تلفني كه پيامهاي كوتاه را به آن ارسال ميكند و URL دانلود APK هاي ديگر ميباشد.
اين بدافزار شماره IMEI دستگاه را به يك سرور راه دور ارسال كرده و پيام كوتاهي با محتواي SX357242043237517 به شماره 13810845191 ارسال مينمايد.
تروجان: Android/Temai.A
Temai.A اطلاعات زير را جمعآوري كرده و براي چند آدرس راه دور ارسال ميكند:
شناسه برنامه، نسخه برنامه، كد كشور، شماره IMEI، شماره IMSI و نسخه سيستم عامل.
اين بدافزار علاوه بر جمعآوري و ارسال اطلاعات دستگاه، فايلهاي APK و اسكريپتهاي بالقوه خرابكار را بر روي دستگاه آلوده دانلود ميكند. همچنين ممكن است كاربران از طريق مجوزهاي اخذ شده توسط اين بدافزار در طول پروسه نصب، در معرض خطرهاي ديگري نيز قرار گيرند.
تروجان: Android/Tesbo.A
Tesbo.A با چندين سرور راه دور ارتباط برقرار كرده و اطلاعاتي مانند شماره IMEI و نام بسته برنامه را ارسال ميكند.
بعلاوه، اين بدافزار پيامهاي كوتاهي با محتواي [IMSI]@[random from 1-10] براي شماره 10658422 ارسال ميكند.
تروجان: SymbOS/Ankaq.A
Ankaq.A برنامهاي است كه پيامهاي كوتاهي را براي سرويسهاي ارزش افزوده ارسال ميكند و بي سر و صدا اقدام به نصب نرمافزار جديدي بر روي دستگاه آلوده ميكند. اين بدافزار براي جلوگيري از تشخيص، تمامي پروسههاي مربوط به آنتيويروس را پايان ميدهد.
مطالب مرتبط:
تهديدات موبايل در سهماهه چهارم 2012 به گزارش F-Secure- قسمت اول
- 2