• Home
  • >
  • 2011
  • >
  • 8
  • >
  • 24
  • >
  • Aplicativo "Trojanizado" do Android Busca Palavras-chave em Mensagens SMS

Aplicativo "Trojanizado" do Android Busca Palavras-chave em Mensagens SMS

quarta-feira, 24 de agosto de 2011 por Administrador

Um malware para Android que monitora mensagens de números específicos enviados para dispositivos infectados já foram vistos com alguma frequencia. Essas ameaças tipicamente interceptam mensagens de planos com pacote de dados, normalmente mais caros, para evitar que usuários suspeitem da infecção. O malware para Android que encontramos recentemente utiliza uma abordagem diferente, monitorando certas palavras-chave em mensagens de texto recebidas de dispositivos infectados.

O suposto malware é uma versão "trojanizada" do jogo chamado Coin Pirates, que, de acordo com nossa pesquisa, foi hospedado em um mercado de aplicativos chinês. Da última vez que verificamos, a versão "trojanizada" foi retirada do mercado.

coinpirate_app

Figura 1. Imagem do aplicativo Coin Pirate

Como boa parte dos malwares para Android, este aplicativo "trojanizado", que foi identificado como ANDROIDOS_PIRATES.A, solicita que usuários deem mais permissões do que a versão oficial, assim executando um maior número de rotinas do que o aplicativo original.

coinpirate2

Figura 2. Clone malicioso da página da BBC

Instalação

Como parte da rotina de instalação, o ANDROIDOS_PIRATES.A registra três receptores - BootReceiver, AlarmReceiver e SMSReceiver. BootReceiver e AlarmReceiver são responsáveis pela inicialização do serviço MonitorService, que permite que o malware se comunique com seu servidor malicioso. O SMSReceiver, por outro lado, é executado toda vez que um dispositivo infectado recebe uma mensagem de texto.

coinpirate3

Figura 3. Receivers (receptores) e serviços instalados pelo aplicativo "trojanizado"

Roubo de Informação

Uma vez que os receptores são instalados, o ANDROIDOS_PIRATES.A colhe a seguinte informação de dispositivos infectados e as envia ao servidor malicioso:

  • • Modelo do dispositivo
  • • Versão SDK
  • • Número IMEI
  • • Número IMSI

Até este momento, não conseguimos acessar o servidor, portanto recorremos à análise do código.

O código sugere que se o servidor responde ao dispositivo com a string "sendsms", o ANDROIDOS_PIRATES.A enviará uma mensagem de texto que contém o número IMEI e o modelo do dispositivo para um dos seguintes números:

  • • 13521419442
  • • 13552040604
  • • 13661258744
  • • 13521273944
  • • 13552040894
  • • 13520931794
  • • 13520234741
  • • 13520234194

Note que os números acima não são de contas com pacotes de dados. Ao verificar a internet, verificamos que esses números foram possivelmente utilizados por outros malwares.

Monitoramento de SMS

Além disso, o malware se conecta ao seu servidor para baixar dados para popular uma base de dados instada no dispositivo infectado. Essa base de dados contém uma tabela chamada "blogconfig" com quatro campos: BlogType, KeyWords, Charging e IsConfirm.

coinpirate4

Figura 4. A base de dados criada pelo malware

O campo KeyWords contém dados que o malware buscará sempre que o dispositivo infectado recebe uma mensagem de texto pelo SMSReceiver. Quando o malware encontra a ocorrência, os dados são deletados ou enviados ao servidor, de acordo com o valor no campo IsConfirm.

Este é um truque novo. Como mencionamos antes, malware mais antigo direcionado a SMS no Android usa o número que origina a mensagem para filtrar mensagens de texto. O malware verifica palavras-chave dentro do corpo da mensagem, resultando em uma abordagem mais direcionada. Além disso, o autor do malware também pode atualizar os itens do campo KeyWords.

Outras funções deste malware incluem o envio de mensagens de texto para números específicos, assim como adicionar favoritos ao navegador do dispositivo. O funcionamento específico das mensagens de texto e dos favoritos dependem da resposta do servidor.

Usuários podem verificar se foram contaminados por esse malware acessando Settings > Applications > Running Services e verificando se existe o MonitorService. Usuários infectados podem manualmente remover este malware acessando Settings > Applications > Manage Applications e desinstalando o aplicativo malicioso.

Para maiores informações sobre como manter seu dispositivo Android à salvo de aplicativos como este, veja nosso relatório: 5 passos para garantir a segurança de seu smarthphone Android (em inglês).

10comentário(s) para “Aplicativo "Trojanizado" do Android Busca Palavras-chave em Mensagens SMS”

  1. Gravatar of Marilee
    MarileeDiz:
    sexta-feira, 9 de setembro de 2011That's 2 cevler by half and 2x2 clever 4 me. Thanks!
  2. Gravatar of vstfqlqnf
    vstfqlqnfDiz:
    domingo, 11 de setembro de 2011qrOi0S , [url=http://mqpcionogtmq.com/]mqpcionogtmq[/url], [link=http://xlcghnkzkvbq.com/]xlcghnkzkvbq[/link], http://tkmreecbshlt.com/
  3. Gravatar of vycdxoad
    vycdxoadDiz:
    terça-feira, 13 de setembro de 2011PJhoRl , [url=http://toehntrzgkri.com/]toehntrzgkri[/url], [link=http://jhcocgkwmvod.com/]jhcocgkwmvod[/link], http://bcyxncdlfcas.com/
  4. Gravatar of Mai
    MaiDiz:
    sábado, 22 de setembro de 2012Eu je1 conhecia a verse3o para iPhone sf3 ne3o sabia que eles tainhm feito para o Android. Acredito que com o tempo a plataforma do Android vai acabar sendo mais importante que a do iPhone e por isto e9 estrate9gico para eles estarem le1 tambe9m.
  5. Gravatar of ixhzist
    ixhzistDiz:
    terça-feira, 25 de setembro de 2012QpXoSR , [url=http://pleksfevnbcq.com/]pleksfevnbcq[/url], [link=http://unedxhpqrddr.com/]unedxhpqrddr[/link], http://gybwwikeulcv.com/
  6. Gravatar of reuvnw
    reuvnwDiz:
    quarta-feira, 26 de setembro de 2012ljXEgZ , [url=http://aziursfkwiuj.com/]aziursfkwiuj[/url], [link=http://dsuvzmgoinnx.com/]dsuvzmgoinnx[/link], http://ltnfgqslzkxj.com/
  7. Gravatar of click through the following page
    click through the following pageDiz:
    sexta-feira, 22 de fevereiro de 2013Hello! Someone in my Myspace group shared this website with us so I came to take a look. I'm definitely loving the information. I'm book-marking and will be tweeting this to my followers! Superb blog and excellent design and style.|
  8. Gravatar of reiggitneda
    reiggitnedaDiz:
    terça-feira, 26 de março de 2013http://acheterviagragnerique1.net/ viagra generique
    http://comprarviagragenerico1.net/ viagra precio
    http://acquistareviagragenerico1.net/ viagra acquistare
    http://kaufenvaigragenerika1.net/ preise viagra
  9. Gravatar of SwosseMoculse
    SwosseMoculseDiz:
    quinta-feira, 25 de abril de 2013http://prixviagrageneriquefrance.net/ viagra generique
    http://commanderviagragenerique.net/ viagra
    http://viagracomprargenericoespana.net/ viagra generico
    http://acquistareviagragenericoitalia.net/ acquisto viagra
  10. Gravatar of Eroneerop
    EroneeropDiz:
    sexta-feira, 17 de maio de 2013http://commandercialisgeneriquefr.net/ acheter cialis
    http://acquistarecialisitaliaonline.net/ cialis senza ricetta
    http://comprarcialisespanaonline.net/ cialis venta
    http://achetercialisfranceonline.net/ cialis achat

Deixe um comentário:

Nome:  
Email:  
Website:
Comentário:  
 
Copyright 1989-2009 Trend Micro, Inc. Todos os direitos reservados.             |       
|        Topo