Detectamos e analisamos vários
desenvolvimentos na nova variante do DroidDreamLight. Esta
nova variante, encontrada em uma loja de aplicativos de terceiros
na China, é apresentada como ferramentas de monitoramento de
bateria, de listagem de tarefas, e um aplicativo que lista as
permissões utilizadas por aplicativos instalados. Veja que os
aplicativos estão em inglês, assim potenciais vítimas não se
limitam a pessoas que entendem chinês.
Para começar, existem mudanças
drásticas no código:
|
Figura 1. Comparação
do código da versão antiga do DroidDreamLight (esquerda) e da
versão nova (direita)
|
Outra atualização relevante foi a
inclusão de rotinas de roubo de informação. Com base na análise da
Trend Micro, a nova variante pode roubar algumas informações do
dispositivo, como:
- • SMS (caixa de entrada e saída)
- • Registros de chamada (recebidas e feitas)
- • Lista de contatos
- • Informação relacionada às contas do Google armazenada no
dispositivo
A informação roubada é armazenada e
comprimida no diretório /data/data/%nome do pacote%/files
e então enviada à URL contida em um arquivo de configuração.
|
Figura 2. As URLs às
quais as informações são enviadas se encontram no arquivo de
configuração
|
Assim como variantes anteriores, ele
também acessa uma URL no arquivo de configuração e entõa envia
outras informações sobre o dispositivo infectado, inlcuindo:
- • Modelo do aparelho
- • Configurações de idioma
- • País
- • Número IMEI
- • Número IMSI
- • Versão SDK
- • Nome do pacote ou aplicativo malicioso
- • Informação sobre aplicativos instalados
Depois de receber a informação, a
URL responde com um arquivo de configuração encriptado que atualiza
o arquivo de configuração atual. Abaixo uma representação do
código:
|
Figura 3. Código da
atualização do arquivo de configuração
|
Além disso, com base no código, esse
malware pode inserir mensagens, com remetente e mensagem
personalizados pelo cyber criminoso, na caixa de entrada do
dispositivo infectado, assim como enviar mensagens para números na
lista de contatos do usuário.
A nova variante traz códigos que
podem verificar se foi realizado o root (liberação de permissões
completas do usuário) no dispositivo infectado procurando por
certos arquivos. Foi descoberto que esse malware pode instalar e
desinstalar pacotes caso tenha sido realizado o root, apesar da
inexistência de códigos para chamar estes métodos.
Usuários podem verificar se seus
telefones foram infectados indo a Settings > Applications
> Running Services e procurando o serviço
CelebrateService.
|
Figura 4. Se o
CelebrateService for encontrado, o dispositivo está infectado.
|
Este malware do Android
agora é detectado como ANDROIDOS_DORDRAE.N.
Para mais informações sobre ameaças
Android, veja o infográfico de ameaças Andorid e nosso e-book com 5 maneiras simples de proteger
dispositivos Android (ambos em inglês).