Il post seguente è stato tradotto per gentile concessione di F-Secure

È stato scoperto un altro malware per Android che usa il root exploit “Rage Against The Cage” e lo abbiamo identificato come Trojan:Android/DroidKungFu.A .

Questo nuovo malware era integrato in un’applicazione trojan che potrebbe richiedere un accesso di root per non essere visibile.

L’infezione avviene in due parti:

Infezione: Parte 1

La prima parte consiste nell’installazione di un’applicazione trojan che otterrà i privilegi di root e installerà l’applicazione com.google.ssearch . Questa applicazione punterà al service component Trojan: Android/DroidKungFu.A che attiverà il servizio com.google.ssearch.Receiver.

Dopo averlo creato, chiamerà la funzione getPermission () che installerà un APK embedded.

Questo richiamerà checkPermission (), che controllerà se com.google.ssearch.apk sia già presente. In caso contrario verrà installato il file “legacy”, un file APK, in “system/app” (la cartella dell’applicazione).

Infezione: Parte 2

La seconda parte ha a che fare con il componente principale del malware, com.google.ssearch.apk. Come potremmo ricordare, questo componente era presente anche nell’applicazione col trojan.

Ecco una schermata che mostra com.google.ssearch.apk installato.

Il malware sembra avere una funzionalità di backdoor. Ecco alcune delle capacità che abbiamo notato:

• execDelete – eseguire un comando per cancellare un file

 

• execHomepage – eseguire un comando per aprire una pagina

 

• execInstall – scaricare e installare un APK

 

• execOpenUrl – aprire un URL

 

• execStartApp – eseguire o avviare un pacchetto applicativo

 

Trojan: Android/DroidKungFu.A potrebbe ottenere le seguenti informazioni e inviarle a un server remoto:

• imei – numero IMEI

 

• ostype – versione build, ad esempio 2.2

 

• osapi – versione SDK

 

• mobile – numero di cellulare degli utenti

 

• mobilemodel – modello del telefono

 

• netoperator – Operatore di rete

 

• nettype – Tipo di connettività di rete

 

• managerid – un valore hard-coded che è “sp033”

 

• sdmemory – memoria disponibile della scheda SD

 

• aliamemory – memoria disponibile nel telefono

 

Root è impostato a 1, come per significare “con root” e queste informazioni vengono inviate successivamente a “http://search.gong […]. php.”

Il malware riceve i comandi da “http://search.gong […]. php” mediante il posting nell’ “imei”, “managerid” e il valore di root.

Inoltre segnala lo stato dei comandi su “http://search.gong […]. php” mediante il posting in “imei”, “taskid”, “state” e “comment”.

Soluzioni inviate da Zimry

Fonte: Another Android malware utilizing a root exploit Another Android malware utilizing the root exploit “Rage Against The Cage” has been found, and we detected it as Trojan:Android/DroidKungFu.A.

This new malware was embedded on a trojanized application that may require a root access in order to conceal itself. The infection occurs in two parts:

Infection: Part 1

The first part is the installation of a trojanized application that would gain root privilege and install the com.google.ssearch application. This application points to the Trojan:Android/DroidKungFu.A‘s service component that will start a service com.google.ssearch.Receiver. On the creation of this service, it will call the function getPermission() that will install an embedded APK.

This will call for checkPermission() that will check if com.google.ssearch.apk is already existed. If not, it will install the “legacy” file, which is an APK file, to the “system/app” (the application folder).

Infection: Part 2

The second part deals with the main malware component, com.google.ssearch.apk. As we may recall, this component was also present in the trojanized application.

Here is a screenshot showing the com.google.ssearch.apk installed.

The malware appears to have a backdoor functionality. Here are some of its capabilities that we have seen:

• execDelete – execute command to delete a supplied file

 

• execHomepage – execute a command to open a supplied homepage

 

• execInstall – download and install a supplied APK

 

• execOpenUrl – open a supplied URL

 

• execStartApp – run or start a supplied application package

 

Trojan:Android/DroidKungFu.A can also obtain the following information and post it to a remote server:

• imei – IMEI number

 

• ostype – Build version release, e.g., 2.2

 

• osapi – SDK version

 

• mobile – users’ mobile number

 

• mobilemodel – Phone model

 

• netoperator – Network Operator

 

• nettype – Type of Net Connectivity

 

• managerid – hard-coded value which is “sp033”

 

• sdmemory – SD card available memory

 

• aliamemory – Phone available memory

 

Root is set to 1 as to signify with root, and these information are then sent to “http://search.gong[…].php.”

The malware obtains the commands from “http://search.gong[…].php” by posting in the “imei,” “managerid” and root value. It also reports the status of the commands on “http://search.gong[…].php” by posting in “imei,” “taskid,” “state” and “comment.”

Threat Solutions post by – Zimry

Source: Another Android malware utilizing a root exploit