Threat locator, маленький блог про віруси та вразливості, сторінка 2
Особливим Trojan-SMS.AndroidOS.Stealer.a не назвеш, він поширюється під виглядом легітимного програми та використовує стандартний для SMS-троянців набір функцій.
Всередині себе зловредів зберігає зашифровані конфігураційний файл, який представляє собою JS-скрипт. Залежно від змісту файлу, троянець відразу після завантаження і запуску може виконати наступні дії:
- openUrl - відкрити веб-сторінку (URL)
- getLat, getLng - отримати координати пристрою
- setInboxSmsFilter - встановити маску блокування SMS
- disableInboxSmsFilter - зняти маску блокування SMS
- doPayment - відправити SMS, взявши номер і текст повідомлення з конфігураційного файлу.
- installApp - встановити додаток
- enableDebug - включити зневадження
- disableDebug - вимкнути зневадження
- log - включити логирование в logcat
- minimize - згорнути програму, під виглядом якого поширюється троянець (в фоновий режим)
- exit - закрити програму
- startHider - приховати додаток
- stopHider - відновити додаток
- enableAOS - включити режим приховування повідомлення про підтвердження
- addShortcut - додати ярлик на троянця на один з робочих столів ОС
- isAirplaneModeOn - перевірити, чи включений режим AirPlane mode
- isPackageExists - перевірити, чи є в системі додаток по масці
- sS - відправити SMS з заданим номером і префіксом
- sDS - відправити SMS з затримкою
Агент Computrace - це додаток Windows, яке має дві форми: скорочену і повну. У разі відсутності повноцінного агента, міні-агент завантажує вміст із сервера в глобальній мережі. Стандартну поведінку агента:
Фаза 1: модуль BIOS
У першій фазі відразу після ініціалізації основного BIOS виконуються модулі додаткових ROM, виконуються EFI-додатки. У цій стадії модуль Computrace переглядає FAT / FAT32 / NTFS розділи жорсткого диска в пошуках встановленої ОС Windows. Потім він створює копію системного autochk.exe і переписує його своїм кодом. Системний autochk.exe зберігається під ім'ям autochk.exe.bak на FAT або autochk.exe: BAK в альтернативному потоці даних NTFS.
Фаза 2: autochk.exe
Модифікований autochk.exe, стартуючи під час завантаження, має повний доступ як до локальних файлів, так і до реєстру Windows. Завдяки цьому він благополучно зберігає в папку system32 файл агента rpcnetp.exe і реєструє його в реєстрі Windows в якості нової сервісної служби. Пізніше оригінальний autochk.exe відновлюється з збереженої копії.
Фаза 3: rpcnetp.exe
Саме цей модуль також відомий як міні-агент Computrace агент або mini CDA (Communication Driver Agent). Його розмір відносно невеликий, всього близько 17Kb.
Міні-агент стартує як сервісна служба Windows. Відразу після цього він копіює власний виконуваний EXE-файл під ім'ям rpcnetp.dll, встановлюючи при цьому відповідний прапор в PE заголовку (чим стверджує, що це коректний DLL файл), і завантажує DLL. Потім rpcnetp.exe запускає дочірній процес svchost.exe в загальмованому стані і впроваджує в його пам'ять створений rpcnetp.dll. При поновленні виконання svchost.exe створює дочірній процес браузера iexplore.exe з правами поточного активного користувача. Iexplore.exe також створюється в загальмованому стані і так само отримує ін'єкцію rpcnetp.dll. Модифікований таким чином браузер в автоматичному режимі з'єднується з сервером управління для отримання команд і завантаження додаткових модулів. Це призводить до завантаження та встановлення повнорозмірного агента rpcnet.exe.
Фаза 4: rpcnet.exe
Але він може бути використаний як платформа для атак.
Описане поведінка, дуже характерне для шкідливого ПО, стало однією з причин пильної уваги до даних модулів. Як правило, легітимне ПО не використовує подібних технік.