Artykuły dotyczące tematu: Stels

dodany: 10.04.2013 | tagi: , , ,

Botnet rozsiewa androidowe trojany

4

Botnet Cutwail, który możecie kojarzyć z rozprzestrzenianiem trojana bankowego Zeus postanowił zmienić branżę i uderzyć w użytkowników Androida.

Nowy trojan o nazwie Stels infekuje urządzenia z systemem Android podszywając się pod aktualizację Adobe Flash Playera. Co ciekawe trojan próbuje wedrzeć się do urządzeń z innymi systemami przekierowując z aktualizacji Flash Playera. Ze strony otwartej w jakiejkolwiek przeglądarce potencjalna ofiara zostaje przekierowana na stronę internetową z exploit kitem Blackhole.

Wg analizy scenariusza ataków wykonanego przez specjalistów z Della, atak zaczyna się wysyłanym spamem podającym się za amerykański Urząd Skarbowy (z ang. Internal Revenue Service, w skr. IRS). Jeśli użytkownik kliknie na link w treści e-maila skrypt zaczyna badać czy korzystasz z urządzenia z systemem Android. Jeśli jednak ofiara używa przeglądarki w innym systemie, to zostaje przekierowana na stronę wypełnioną exploit kitem Blackhole. Następnie exploit próbuje wykorzystać niezaktualizowane dodatki próbując zainfekować komputer.

Jeśli jednak ofiara korzysta z urządzenia z Androidem, to skrypt przekieruje ją  na stronę podającą się za witrynę produktową Flash Playera, gdzie aby zainstalować aktualizację musi wybrać opcję Pozwól na aplikacje z nieznanego źródła.

flaszplejer

Źródło: Dell

Kiedy ofiara zgodzi się na tę najgłupszą z możliwych opcji, trojan zostaje zainstalowany, po czy, ogłasza, że aktualizacja nie odpowiada i zostanie odinstalowana. Tymczasem spokojnie działa w tle bez wiedzy ofiary. Stels tworzy backdoora do pobierania jeszcze większej ilości złośliwego oprogramowania. Dodatkowo szpieguje listę kontaktów ofiary, może wysyłać SMS-y. Jeśli połączy się z Zeusem, będzie w stanie obejść dwustopniowe uwierzytelnianie.

appnejm

Źródło: Dell

Specjaliści z Della zauważyli jednak, że trojan nie używa dostępu do roota i jakoś specjalnie się ze swoimi działaniami na telefonie nie chowa. Fałszywa aplikacja jest dostępna w ostatnio otwartych aplikacjach. Sama nazwa aplikacji wskazuje, że Stels specjalnie o niewidoczność nie dba – APPNAME.