Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.FakeUpdates.1.origin

Добавлен в вирусную базу Dr.Web: 2017-06-08

Описание добавлено:

  • SHA1: ac633643a7130c5ced5672841dbc91ff92737ae6

Описание

Android.FakeUpdates.1.origin является трояном, встроенным в системное приложение ряда Android-устройств, отвечающее за обновление прошивки «по воздуху». Рассматриваемый образец встроен в программу /system/priv-app/ThirdPartyFOTA.apk (com.fota.wirelessupdate), в то время как существуют модификации, встроенные в другие приложения.

В процессе работы Android.FakeUpdates.1.origin выполняет разнообразные Lua-скрипты, с помощью которых способен загружать и устанавливать ПО без ведома пользователя.

Троян замаскирован под библиотеку com.google.android.gcm и имеет вредоносный сервис com.google.android.gcm.GCMBaseIntentService. В данном случае злоумышленники использовали имена пакета и класса платформы Google Cloud Messaging SDK, которая в настоящее время устарела и не применяется (её сменила платформа Firebase Cloud Messaging).

Принцип действия

Android.FakeUpdates.1.origin имеет следующий широковещательный приемник:


    <receiver android:name="com.google.android.gcm.GCMBroadcastReceiver">
        <intent-filter android:priority="1000000">
            <action android:name="android.intent.action.BOOT_COMPLETED"/>
            <action android:name="android.net.conn.CONNECTIVITY_CHANGE"/>
            <action android:name="android.intent.action.TIMEZONE_CHANGED"/>
            <action android:name="android.intent.action.ACTION_POWER_CONNECTED"/>
            <action android:name="android.intent.action.ACTION_POWER_DISCONNECTED"/>
            <action android:name="com.google.android.gcm.action"/>
        </intent-filter>
    </receiver>

При наступлении указанных в нем системных событий с использованием класса android.app.AlarmManager устанавливается задача на запуск троянского сервиса com.google.android.gcm.GCMBaseIntentService с периодичностью раз в час.

При создании сервиса GCMBaseIntentService из архивов license_01 или license_03 распаковываются двоичные Lua-файлы. Архив, из которого будут распакованы файлы, выбирается в зависимости от архитектуры процессора зараженного устройства:

Архитектура процессора Распаковываемый файл
Armeabi license_01
armeabi-v7a license_01
arm64-v8a license_03
x86 license_01
x86_64 license_03

Во время запуска сервиса происходит вызов функции BootEntry() троянского скрипта boot. При этом для выполнения Lua-скриптов используется инструмент luajava, который позволяет им использовать Java-классы, открывая доступ к Android API.

Реализованная на языке Lua программа периодически обращается к следующим C&C-серверам:

  • hxxp[:]//statistics[.]flurrydata[.]com
  • hxxp[:]//106[.]184.5.78

Также существует третий адрес сервера, который генерируется в зависимости от текущей даты:

  • "http://boot.b" + md5("202207")[1:8] + ".net"

Параметр 202207 в данном случае составлен из значений текущего года и месяца.

Таким образом, если доступ к другим адресам будет утерян, Android.FakeUpdates.1.origin сможет автоматически подключаться к новым доменным именам, которые зарегистрируют злоумышленники.

Первый запрос к серверу имеет параметр action="check". В нем передается уникальный номер трояна, а также значение переменных его окружения (рабочие директории, конфигурация, версии скриптов boot и worker, версия вредоносного пакета com.google.android.gcm, версия Android SDK и т. д.).

В ответ Android.FakeUpdates.1.origin получает следующие команды:

  • register
  • upgrade
  • info

Команда register

Троян получает UID-идентификатор пользователя и свою конфигурацию.

Команда upgrade

Троян скачивает с сервера и распаковывает ZIP-архив с двоичными Lua-скриптами, главный из которых обычно имеет имя worker. После скачивания они вызываются из скрипта boot. При этом в функции BootEntry() вызывается worker.WorkerEntry(), а в функции BootStart() вызывается worker.WorkerStart(). Среди загруженных в процессе анализа были скрипты, выполняющие установку и удаление приложений с помощью команд pm install -r и pm uninstall.

Команда info

Троян отправляет на C&C-сервер подробную информацию об устройстве, включая номер мобильного телефона:

  • PhoneType — тип мобильного телефона (GSM, CDMA, SIP или NONE);
  • DeviceID — IMEI-идентификатор устройства;
  • PhoneNumber — номер мобильного телефона;
  • NetworkCountry — идентификатор страны;
  • NetworkOperatorName — имя мобильного оператора;
  • NetworkType — тип мобильной сети;
  • SimCountry - страна принадлежности SIM-карты;
  • SimName - имя провайдера мобильного сервиса (SPN, Service provider Name);
  • SimNumber — серийный номер SIM-карты, если он доступен.

Также передаются поля класса android.os.Build:

  • MODEL — название модели;
  • DISPLAY — идентификатор сборки ОС;
  • TIME — время сборки операционной системы;
  • ID — метка или номер списка изменений;
  • BOARD — название основной платы;
  • BOOTLOADER — версия загрузчика ОС;
  • BRAND — имя бренда устройства;
  • DEVICE — название промышленного образца;
  • HARDWARE — название аппаратной платформы;
  • MANUFACTURER — производитель устройства;
  • PRODUCT — имя продукта;
  • VERSION.RELEASE — версия ОС;
  • VERSION.CODENAME — кодовое имя ОС;
  • VERSION.SDK_INT — версия SDK ОС.

Работа невредоносной части приложения

Невредоносная часть приложения, непосредственно отвечающая за обновление прошивки, получает необходимые URL-адреса из метода GCMBaseIntentService.readFotaConfig(this). Этот метод вызывает функцию BootReadFotaConfig троянского срипта boot.

Загружаемые обновления устанавливаются как через соответствующий метод ОС Android RecoverySystem.installPackage(), так и при помощи команды pm install. Последняя при этом также может применяться для установки и удаления отдельных программ.

Поскольку получение URL-адресов происходит из троянской составляющей приложения, помимо обновлений прошивки может также загружаться и вредоносное ПО.

Известные адреса, к которым программа обращается для получения обновлений прошивки:

  • hxxp[:]//app[.]fota.digitimetech[.]com
  • hxxp[:]//s1[.]fotaservice[.]com
  • hxxp[:]//112[.]124.58.101

Индикаторы компрометации

Новость о трояне

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 120+ странах мира
Техническая поддержка 24х7х365 Рус | En

© «Доктор Веб»
2003 — 2023

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А