Backdoor.AndroidOS.Torec.a – Первый TOR троянец под Android

Summary (In English):

Security researchers from Kaspersky say they’ve identified the first Tor-based Android Trojan. The threat, dubbed Backdoor.AndroidOS.Torec.a, uses the anonymization network to hide its communications.

According to experts, Torec.a relies on Orbot, an open source Tor client for Android mobile devices.

Orbot functionality is leveraged to send commands from the C&C server to the Trojan. The list of commands includes intercepting incoming SMSs, stealing incoming SMSs, retrieving information on the phone and the installed applications, and sending SMSs to a specified number.

Using Tor for C&C has some advantages, mainly the fact that the communications infrastructure is more difficult to disrupt. On the other hand, experts highlight that the malware developers have used more code to implement the use of Tor than they have for the Trojan’s own functionality.

 

Full Article (In Russian):

Вирусописатели, создающие Android-троянцев, традиционно используют в качестве образца функционал Windows зловредов. Теперь еще одна «фишка» Windows троянцев реализована в зловредах под Android:  мы обнаружили первый Android-троянец, который в качестве C&C использует домен в псевдо-зоне .onion. Таким образом, этот троянец использует анонимную сеть Tor, построенную на сети прокси-серверов. Кроме обеспечения анонимности пользователя, Tor позволяет размещать в доменной зоне .onion «анонимные» сайты, доступные только в Tor.

 

Backdoor.AndroidOS.Torec.a представляет собой изменённый популярный Tor-клиент Orbot. Злоумышленники добавили свой код в это приложение, причем троянец не выдает себя за Orbot, он просто использует функционал этого клиента.

 

Троянец может получать с С&C следующие команды:

 

  • начать/закончить перехват входящих SMS
  • начать/закончить кражу входящих SMS
  • сделать USSD запрос
  • отправить на C&C данные о телефоне (телефонный номер, страна, IMEI, модель, версия OS)
  • отправить на C&C список установленных на мобильном устройстве приложений
  • отправить SMS на номер, указанный в команде

Использование TOR имеет для злоумышленников свои плюсы и минусы. Среди плюсов то, что такой C&C невозможно закрыть. К минусам же стоит отнести необходимость дополнительного кода. Для того, чтобы Backdoor.AndroidOS.Torec.a мог использовать Tor, потребовалось гораздо больше кода, чем для его собственного функционала.

кредит: Роман Унучек
Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s