22. 01. 2014

Bezpečnostní výzkumníci z FireEye Labs objevili šest variant nového Android malwaru, přezdívaného jako „Android.HeHe“, který je schopen krást SMS a zachytávat telefonní hovory. Malware je distribuován jako aktualizace zabezpečení pro OS Android – android.security. (obr. č. 1). Jakmile je zařízení infikováno, začne komunikovat s velícím a řídícím (C&C) serverem a monitorovat příchozí SMS a volání. Na C&C server začne odesílat také další údaje o telefonu včetně jeho IMEI, IMSI, telefonního čísla, verze OS a typu modelu.


Obr. č. 1


obr. č. 2

Charakteristika zranitelnosti

Aplikace způsobí zobrazení showAlterDailog zprávy (obr. č. 2). Zkontroluje, zda je aplikace spouštěna v emulátoru Android QEMU nebo v reálném zařízení. Pak odstraní aplikaci z hlavního menu zařízení, což vede uživatele k domněnce, že aplikace je již ze zařízení odinstalována. Následně pak kontroluje stav mobilní sítě na zařízení a odesílá C&C serveru seznam IMSI, IMEI, telefonní číslo, SMS adresu, ID kanálu, číslo verze aplikace, model zařízení, verzi operačního systému, typ sítě zařízení (GSM/CDMA). Aplikace využívá dvě pevné IP adresy C&C serverů: 122.10.92.117 a 58.64.183.12. Veškerá komunikace prochází přes HTTP POST požadavky a obsah je šifrován 128 bitovým klíčem standardu AES.

V nakaženém přístroji malware monitoruje obsah veškerých SMS, všechna příchozí, odchozí a zmeškaná volání. U příchozích SMS extrahuje jejich obsah a telefonní číslo odesílatele. Jestliže číslo odesílatele splňuje zadané podmínky uvedené v tabulce s názvem tbl_intercept_info, je SMS přeposlána na C&C server a vymazána ze zařízení a uživatel ji nikdy neuvidí. Podobně malware kontroluje i příchozí hovory. Pokud je číslo volajícího uvedeno v tabulce tbl_intercept_info, je režim vyzvánění zařízení nastaven na tichý režim, je potlačeno upozornění na příchozí hovor a hovor je odpojen. Odpovídající záznam hovoru je z protokolů hovorů také odstraněn.

Odborníci varují, že existence hrozeb, jako Andorid.MisoSMS a Android.HeHe ukazují, že počítačoví zločinci se stále více zajímají o monitorování SMS a telefonátů. Uvedený malware také slouží jako neúprosná připomínka toho, jak nebezpečné aplikace z nedůvěryhodných tržišť mohou být.

Postižené systémy

  • Android

Dopad zranitelnosti

Umožní útočníkovi získat přístup k citlivým osobním datům oběti a ovládat nakažené zařízení.

Řešení

Doposud neuvedeno.

Odkazy

http://www.fireeye.com/blog/technical/2014/01/android-hehe-malware-now-disconnects-phone-calls.html
http://news.softpedia.com/news/Android-Malware-Disguised-as-Security-Update-Steals-SMSs-and-Intercepts-Phone-Calls-419230.shtml