В конце ноября 2016 года, в Comodo исследования угроз лабораторий, обнаруженных образцов вредоносных программ для Android “Tordow П2.0”, затрагивающих клиентов в России. Tordow-это первый Троян мобильный банк для операционной системы Android, которая стремится получить права root на зараженных устройствах. Как правило, банковская вредоносная программа не требует root-доступ для выполнения вредоносных деятельности, но с корнем хакерам доступ приобретают более широкий диапазон функциональных возможностей.
Tordow 2.0 может делать телефонные звонки, управлять SMS-сообщения, скачивать и устанавливать программы, украсть регистрационные данные, контакты доступ, шифрование файлов, посещения веб-страниц, манипулировать банковскими данными, удалить программное обеспечение безопасности, перезагрузить устройства, переименовать файлы, и действуют как вымогатели. Он ищет браузеры Opera и Google Chrome для хранить конфиденциальную информацию. Технические данные показывают, что Tordow 2.0 также собирает сведения об аппаратной и программное обеспечение, Операционная система, производитель, интернет-провайдера и местоположения пользователя.
Tordow 2.0 обладает CryptoUtil класса функций, с которыми он может шифровать и дешифровать файлы, используя алгоритм AES со следующими зашит ключ: ‘MIIxxxxCgAwIB’. Пакет приложения Android (apk) файлы, с такими именами, как “cryptocomponent.2”, зашифрованы с помощью алгоритма AES.
Tordow 2.0 имеет девяти различных способов, в которых он подтверждает, что он получил права root. Его состояние передается одному из командования и управления злоумышленника (С2) сервера, например, нашел в “https://2ip.ru”. С корневой доступ, злоумышленник может делать все, что угодно, и это будет трудно удалить, таких окопавшихся вредоносных программ из зараженной системы.
Tordow распространяется через общие социальные медиа-и игровых приложений, которые были загружены, обратного проектирования, и саботируется вредоносного кода. Приложения, которые были использованы в числе "Вконтакте" (русский Facebook), Покемон пойти, телеграмму, и Сабвей серф. Зараженной программы обычно распространяются со сторонних сайтов, не связанных с официальных веб-сайтов, таких как Google Play и магазинах Apple, хотя у обоих были проблемы с хостингом и распространения зараженных приложений раньше. Угнали приложений обычно ведут себя так же, как и оригинальные, но также включают встроенные и зашифрованного вредоносного функционала, в том числе в связи С2, эксплойт-пак для корневой доступ, и доступ к загружаемым троянские модули.
Хотя большинство жертв были в России, успешные методы, хакер обычно мигрируют в другие части земного шара. Для защиты от Tordow 2.0 и аналогичных угроз, пользователи должны сохранить их для обеспечения безопасности до-до-даты, будьте бдительны в отношении нежелательных ссылок и вложений, и загружайте приложения только с официальных сайтов.
| Название Обеспечением | Андроид.шпион .Tordow |
| Имя Аналитика | Г. Рави Варма Кришны |
| Тип Суб | Андроид.шпион |
| Целевая Аудитория | Русский |
| Впервые Обнаружен | Ноября-2016 |
| Последнее Обновление | Декабря-2016 |
| Преступной Деятельности | Поддельные АПК ,подробная информация о OS и мобильных, шпионаж в области сведений , Корневое устройство, устройство регистрации, скачайте ,Запустите и обновление версии cryptocomponent и ExecuteTask (DOWNLOAD_AND_RUN , UPLOAD_FILE, LOCKEDDevice, LockURL ,сигнализация запросу разблокировка устройства, ENCRYPT_FILES , DECRYT_FILES, DELETE_FILES, GET_FILE_LIST, LOAD_HTTP_ адрес , ADD_ALTERNATE_SERVER, RELOAD_LIB , SET_PREFERENCE,ABORT_ALL_SMS, MASK_ABORT_SMS ,определения шаблоны ,SEND_SMS2 ,FAKE_INBOX_SMS,FAKE_SENT_SMS, ABORT_ALL_CALLS, ABORT_ALL_CALLS, ABORT_INCOMING, ABORT_OUTGOING, ABORT_NUMBER, REDIRECTION_NUMBER, GET_ALL_SMS, GET_ALL_CONTACTS, CHECK_BALANSE, звоните, MASS_SEND_SMS). |
| Tordow ИС | http://192.168.0.2 http://5.45.70.34 |
| Tordow Версия | Версия 1.0 и версия 2.0 |
Технический обзор Tordow П2.0
Иерархия класса Tordow В2.0(Декабрь-2016)
Иерархия класса Tordow В1.0(Сентябрь-2016)
Функциональная карта Tordow В2.0
Tordow П2.0 функции :
1) вся информация :информация обо всех системных детали и детали Мобильная ОС Версия ОС, уровень API , устройства ,модели (и продукта) , строить версии , построить Бренд , создать процессор АБИ , построить процессора ABI2, сборки оборудования, идентификатор сборки ,сборка изготовление , создать пользователя и узла.
2) получить области : сведения обо всех географических подробностей региона( округа и привожу) ,
Провайдером(пример: Переключить на широкой полосе) , браузер( название и версии браузера ) и ОС Android версии при подключении “https://2ip.ru”.
3) Корневое устройство : это проверить, является ли мобильное устройство коренится с 9 условий, перечисленных ниже:
4) Регистрация устройства : одно из укоренившихся условия устройство совпадают, магазины корневое устройство, информация в шпионаже сервера, таких как устройства строить , строить версии устройства ,имя пакета , подробности Оператор SIM-карты ,корень устройства и пользовательские устройства.
5) Скачать :она поддерживает обновление версии жестко будущем зашифрованы имена АПК, которые (/cryptocomponent.2, /cryptocomponent.3 и /cryptocomponent.4),скачать файл детали сервере (http://XX.45.XX.34 и http://192.xx.0.xx).
Примечание:
Выше упомянул все cryptocomponent.2 , cryptocomponent.3 и cryptocomponent.4 будущие обновления apk файл cryptocomponent, которые будут зашифрованы с помощью алгоритма AES. Текущая версия cryptocomponent.1, который шифруется алгоритмом AES.
6) войдите устройство: поддерживает устройство регистрационные данные, такие как номер мобильного IMEI и другие детали .
7) выполнение задач: он поддерживает список ExecuteTask таких как DOWNLOAD_AND_RUN , UPLOAD_FILE, LOCKEDDevice, LockURL ,сигнализация запросу, разблокировка устройства, ENCRYPT_FILES , DECRYT_FILES, DELETE_FILES, GET_FILE_LIST, LOAD_HTTP_ адрес , ADD_ALTERNATE_SERVER, RELOAD_LIB , SET_PREFERENCE,ABORT_ALL_SMS, MASK_ABORT_SMS ,определения шаблоны ,SEND_SMS2,FAKE_INBOX_SMS,FAKE_SENT_SMS,ABORT_ALL_CALLS, ABORT_ALL_CALLS, ABORT_INCOMING, ABORT_OUTGOING, ABORT_NUMBER, REDIRECTION_NUMBER, GET_ALL_SMS, GET_ALL_CONTACTS , CHECK_BALANSE, звоните и MASS_SEND_SMS.
8) CryptoUtil: она поддерживает CryptoUtil класс функции для шифрования и дешифрования файлов с использованием алгоритма AES с MIIxxxxCgAwIB зашит ключ‘’.
9) базы данных сохранить : сохраняет всю информацию шпионаже в CoonDB.дБ.
