Un altro malware per Android utilizza un root exploit

Il post seguente è stato tradotto per gentile concessione di F-Secure

È stato scoperto un altro malware per Android che usa il root exploit “Rage Against The Cage” e lo abbiamo identificato come Trojan:Android/DroidKungFu.A .

Questo nuovo malware era integrato in un’applicazione trojan che potrebbe richiedere un accesso di root per non essere visibile.

L’infezione avviene in due parti:

Infezione: Parte 1

La prima parte consiste nell’installazione di un’applicazione trojan che otterrà i privilegi di root e installerà l’applicazione com.google.ssearch . Questa applicazione punterà al service component Trojan: Android/DroidKungFu.A che attiverà il servizio com.google.ssearch.Receiver.

Dopo averlo creato, chiamerà la funzione getPermission () che installerà un APK embedded.

droidkungfu_create (47k image) droidkungfu_getpermission (56k image)

Questo richiamerà checkPermission (), che controllerà se com.google.ssearch.apk sia già presente. In caso contrario verrà installato il file “legacy”, un file APK, in “system/app” (la cartella dell’applicazione).

Infezione: Parte 2

La seconda parte ha a che fare con il componente principale del malware, com.google.ssearch.apk. Come potremmo ricordare, questo componente era presente anche nell’applicazione col trojan.

Ecco una schermata che mostra com.google.ssearch.apk installato.

droidkungfu_screen (194k image)

Il malware sembra avere una funzionalità di backdoor. Ecco alcune delle capacità che abbiamo notato:

  • execDelete – eseguire un comando per cancellare un file
  •  

  • execHomepage – eseguire un comando per aprire una pagina
  •  

  • execInstall – scaricare e installare un APK
  •  

  • execOpenUrl – aprire un URL
  •  

  • execStartApp – eseguire o avviare un pacchetto applicativo
  •  

Trojan: Android/DroidKungFu.A potrebbe ottenere le seguenti informazioni e inviarle a un server remoto:

  • imei – numero IMEI
  •  

  • ostype – versione build, ad esempio 2.2
  •  

  • osapi – versione SDK
  •  

  • mobile – numero di cellulare degli utenti
  •  

  • mobilemodel – modello del telefono
  •  

  • netoperator – Operatore di rete
  •  

  • nettype – Tipo di connettività di rete
  •  

  • managerid – un valore hard-coded che è “sp033”
  •  

  • sdmemory – memoria disponibile della scheda SD
  •  

  • aliamemory – memoria disponibile nel telefono
  •  

Root è impostato a 1, come per significare “con root” e queste informazioni vengono inviate successivamente a “http://search.gong […]. php.”

Il malware riceve i comandi da “http://search.gong […]. php” mediante il posting nell’ “imei”, “managerid” e il valore di root.

Inoltre segnala lo stato dei comandi su “http://search.gong […]. php” mediante il posting in “imei”, “taskid”, “state” e “comment”.

Soluzioni inviate da Zimry

Fonte: Another Android malware utilizing a root exploit

Written by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.