Мозговой тест - Brain Test

Мозговой тест был частью вредоносное ПО маскируясь под Android приложение, которое протестировало пользователей IQ.[1][2] Brain Test обнаружила охранная фирма Пропускной пункт и был доступен в Гугл игры магазин приложений до 15 сентября 2015 года.[1] Check Point охарактеризовал Brain Test как «новый уровень изощренности вредоносных программ».[1]

Brain Test загружался дважды (com.zmhitlte.brain и com.mile.brain), начиная с августа 2015 года, оба раза. Google "s"Вышибала "не удалось обнаружить вредоносное ПО. После первого удаления 24 августа 2015 года программное обеспечение было повторно введено с использованием обфускация техника. Тим Эрин из Tripwire сказал: «Обход процессов проверки Apple и Google является краеугольным камнем в кампании мобильного вредоносного ПО».

Оказалось, что вредоносное ПО содержит руткит, откровение описывается как «хитрее, чем первая мысль».[3]

Считается, что вредоносное ПО было написано китайским актером, по словам Шаулова из Check Point, на основе использования инструмента упаковки / обфускации от Baidu. Одиннадцать путей, а Telefonica компании, обнаружившей ссылки на другие вредоносные программы на основе идентификатора, используемого для доступа Уменг, Интернет домены доступ к приложениям и общий jpg и PNG изображений.[4]

Похоже, что приложение было впервые обнаружено на Нексус 5 используя Check Point Мобильная система предотвращения угроз. Тот факт, что система не смогла удалить вредоносное ПО, предупредил исследователей компании-разработчика программного обеспечения о необычной угрозе.

Согласно Check Point, может потребоваться повторная прошивка ПЗУ на устройстве, если Brain Test успешно установил переустановщик в системный каталог.

Функции

Вредоносная программа была загружена в двух формах. Особенность упаковки присутствовала только во втором.

  • Обнаружение уклонений Google Bouncer избегая злонамеренного поведения на серверах Google с помощью IP-адреса 209.85.128.0–209.85.255.255, 216.58.192.0–216.58.223.255, 173.194.0.0–173.194.255.255 или 74.125.0.0–74.125.255.255, или доменные имена "гугл", "андроид" или "1e100".
  • Корневые эксплойты. Четыре подвига, чтобы получить корневой доступ в систему, чтобы учесть различия в ядре и драйверах разных производителей и версий Android,[5] которые предоставляют альтернативные пути к root.
  • Внешняя полезная нагрузка - через систему управления и контроля. Система использовала до пяти внешних серверов для обеспечения переменной полезной нагрузки, которая, как считается, в основном связана с рекламой.
  • Упаковка и задержка. Основная часть загруженного вредоносного ПО находится в звуковом файле, код начальной загрузки распаковывает его через некоторое время.
  • Двойная установка и повторная установка. Установлены две копии вредоносной программы. Если один будет удален, другой установит его заново.

Смотрите также

Рекомендации

  1. ^ а б c Полковниченко Андрей; Боксинер, Алон (21 сентября 2015 г.). «BrainTest - новый уровень сложности мобильных вредоносных программ». Получено 27 ноября 2015.
  2. ^ Грэм Клули (23 сентября 2015 г.). «Вредоносное ПО снова (и снова) попадает в магазин приложений Android в Google Play».
  3. ^ Цетт, Ханс (2 ноября 2015 г.). «Вредоносная программа Brain Test хитрее, чем я думал». Новости GoMo. Архивировано из оригинал 26 ноября 2015 г.. Получено 27 ноября 2015.
  4. ^ Подробное освещение в Forbes Китайские киберпреступники взломали Google Play, чтобы заразить «до 1 миллиона» Android-устройств
  5. ^ Кернер, Шон Майкл (21 сентября 2015 г.). «Вредоносное приложение Brain Test мешает безопасности Google Play Android». eweek.com. Получено 27 ноября 2015.

внешняя ссылка