HummingBad

HummingBad se může šířit jako příloha nevyžádaného e-mailu, stejně tak může číhat na podvodných webech. „Tento malware se zaměřuje na zařízení se systémem Android. Vytváří trvalý rootkit na zařízení,“ upozornil David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Právě zmiňovaný rootkit, tedy schopnost viru se v zařízení maskovat, velmi znesnadňuje možnost jeho odhalení na napadeném zařízení. Ve chvíli, kdy se HummingBad na mobilním zařízení zahnízdí, začne dál škodit. „Instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggerů, krádeže přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat,“ konstatoval Řeháček.

Ukazuje to na velmi rychlý růst útoků na mobilní zařízení se systémem Android.
bezpečnostní odborník David Řeháček
Jinými slovy počítačoví piráti převezmou nad napadeným přístrojem naprostou kontrolu. Mohou jen vyčkávat a sledovat aktivitu uživatele, stejně tak ale dovedou odchytávat zprávy týkající se internetového bankovnictví. Teoreticky tedy mohou uživatele připravit o peníze.

Bezpečnostní experti bijí na poplach především proto, že nový mobilní virus se šíří neskutečně rychle. „V únoru se vůbec poprvé dostal do Top 10 škodlivých kódů mobilní malware, v březnu trend pokračoval a HummingBad byl šestým nejčastějším malwarovým útokem na světě,“ podotkl Řeháček.

„Přestože byl HummingBad objeven výzkumníky společnosti Check Point až v únoru. Ukazuje to na velmi rychlý růst útoků na mobilní zařízení se systémem Android,“ uzavřel bezpečnostní odborník.

HummingBad: Komplexní Malware
HummingBad začíná sofistikovaný útok řetězu, který je zajímavý v několika ohledech. Za prvé, škodlivé komponenty malware jsou všechny šifrována. To je mnohem těžší pro bezpečnostní řešení pro detekci, že je malware, protože žádný škodlivý kód je viditelný za účelem kontroly. Za druhé, malware spustí tichý způsob útoku. Pokud se to nepodaří, bude malware zahájí druhý způsob útoku, který má stejné možnosti jako první. To je zajímavý postup pro mobilní hrozby, protože redundance pomáhá zajistit pachatel cíl je splněn. A konečně, každý způsob útoku se skládá z několika fází, včetně dešifrování a vybalení skutečné škodlivé kódy.

Dva typy útoků
HummingBad obsahuje ve svých aktiv dvou souborů, a každá generuje samostatný útok. První útok vektor vygeneruje tichý provoz vyvolaný jedním ze tří společných akcí na zařízení:

BOOT_COMPLETED - nastane po spuštění zařízení.
TIME_TICK - nastává pokaždé, když minutu projde.
SCREEN_ON - nastane, když je obrazovka zapnutá.
Malware pak kontroluje, zda je zařízení kořeny, nebo ne. Pokud je zařízení kořeny, malware pokračuje rovně jednat o jeho cíle. Pokud je zařízení není kořeny, XOR rodič malware dešifruje soubor ze svých aktiv zvaných right_core.apk (každá postava je XORed proti 85). Right_core.apk pak dešifruje nativní knihovny ze souboru s názvem support.bmp. Tento rodák knihovna slouží ke spuštění více exploity ve snaze stupňovat výsady a získat práva roota.

Jakmile zvýšené ke kořeni, malware naváže komunikaci s jedním ze svých serverů C & C. Ze serveru malware stáhne seznam škodlivých APK.

Druhý způsob útoku, tzv qs, je zahájeno pouze v případě, že první vektor se nepodařilo získat kořen. Tento útok vektor používá sociální inženýrství, aby se dosáhlo svůj účel. Součást "dle potřeby" je také XOR zašifrován a musí být dešifrována mateřskou malware.

Po vybalení malware vyskočí oznámení Fake uživatele, pokud jde o aktualizaci systému. V případě, že uživatel otevře upozornění, že je zapotřebí povolit instalaci "aktualizace systému", což je vlastně škodlivý APK. Malware pak skrývá svou ikonu a DES dešifruje soubor s názvem module_encrypted.jar. Komponenta module_encrypted.jar má stejné možnosti jako right_core, kromě několika nových využije.

V této fázi bude malware pokusí připojit ke svým serverům C & C pro další příkazy. Server může zahájit několik akcí ze strany malwaru:

Ke stažení APK z URL poskytované serverem a nainstalovat jej. V závislosti na tom, zda je přístup kořen byl úspěšně navázáno, bude aplikace instalovat APK bezobslužně nebo vykazují instalaci dialogové okno obsahující text poskytnuté serverem.
Odesílání požadavků referreru s cílem vytvořit Google Play reklamní příjmy. K dosažení tohoto cíle, je malware dostane seznam balíčků a odkazujících id ze serveru a pak skenuje aplikace běžící na zařízení. Jakmile se shromáždila tuto informaci malware posílá com.android.vending.INSTALL_REFERRER záměry s odpovídajícím odkazujícího ID, s cílem získat příjmy.
Spouštění aplikací - malware dostane seznam balíčků ze serveru a pokusit se je spustit.
Odeslat požadavek na adresu URL poskytnuté serverem. V tomto případě bude malware získat URL ze serveru a otevře spojení s URL za použití dané agenta uživatele: Mozilla / 5.0, Macintosh, Intel, Mac OS X 10.10, rv: 38,0, Gecko / 20100101 Firefox / 38.0.
Je zajímavé si povšimnout, že všechny servery, C & C jsou stále naživu a obsahují desítky škodlivých APK. Několik škodlivých binárních souborů na serverech C & C mají kapátka schopnosti jejich vlastní, zatímco jiní mají schopnosti zakořenění.