Sempre presenti in rete numerosi Android Market messi online al solo scopo di diffondere fake Android .apk dii vario genere.
Si tratta di software di giochi ma anche di applicazioni ben note come Skype, Faacebook, ecc.... naturalmente fatte passare per versioni dedicate al sistema operativo Android ma in realta' dai contenuti malevoli.
Si tratta di software di giochi ma anche di applicazioni ben note come Skype, Faacebook, ecc.... naturalmente fatte passare per versioni dedicate al sistema operativo Android ma in realta' dai contenuti malevoli.
Ecco uno dei siti attualmente attivi
che presenta ampia scelta di software ben noto come ad esempio questo SKYPE in versione Android
Il download propone un file .apk di dimensioni ridotte
che analizzato staticamente attraverso virscan.org (Virus Total era al momento non raggiungibile) mostra
Estraendo i contenuti del file .apk otteniamo alcuni ulteriori dettagli:
Per quanto si riferisce al codice presente notiamo che, a differenza del precedente post, non vengono rilevati numeri di telefono di servizi SMS a pagamento nel source .dex ma nel file .db.
Possiamo comunque notare gia' dal file manifest.xml le varie 'autorizzazioni' richieste dal fake Skype tra cui quella sempre presente in questi casi di invio SMS.
Possiamo anche rilevare le icone usate dal programma con il noto logo Skype in evidenza
Anche se l'applicazione viene riconosciuta abbastanza bene dai softwares AV vediamo ora di eseguire il file in dispositivo virtuale monitorandone i comportamenti attraverso l'utilizzo di DroidBox.
DroidBoox e' essenzialmente una Android Sandbox Application (in ambiente Linux) che permette di monitorare i vari eventi che si verificano durante l'esecuzione del file .apk in dispositivo virtuale (nel caso quello fornito dall'SDK Android)
Abbiamo ad esempio il monitoraggio di eventuali SMS inviati, di connessioni alla rete , di scrittura e lettura files , ecc.........
Inoltre il fatto di eseguire il file .apk ci fornira' anche dettagli su cosa appare al momento dell'esecuzione del software, su come viene visualizzato il programma tra le icone di Android ecc.............
Ecco quindi che eseguendo il programma abbiamo la comparsa, tra le applicazioni Android, della tipica icona Skype che dovrebbe referenziare un Installer del noto software
Il run mostra poi
Come si nota si tratta di software dedicato anche questa volta ad utenza di lingua russa.
Cliccando sul pulsante superiore possiamo vedere, dal log generato da DroidBox che viene effettuato un invio di sms a numero si servizio SMS Premium a pagamento:
Successivamente avviene il caricamento di una pagina da sito di false applicazioni .apk e chiaramente, cliccando sui links, di un ulteriore tentativo di installazione di altre applicazioni probabilmente malware.
Interessante, dal punto di vista della cronologia degli eventi, il diagramma generato da DroidBox che riassume la sequenza temporale di quanto succede lanciando il falso install Skype.
Si puo' notare sia l'iniziale fase di accesso alla rete, l'invio dell'SMS e la successiva connessione ad altro sito …......
Si puo' notare sia l'iniziale fase di accesso alla rete, l'invio dell'SMS e la successiva connessione ad altro sito …......
Questa invece una rappresentazione grafica, sempre generata da DroidBox, che riassume quanto eseguito dal software apk e che puo' essere utile per notare similitudini tra differenti applicazioni analizzate.
Edgar
Nessun commento:
Posta un commento