Android.Sandorat


2014. november 10. 08:22

CH azonosító

CH-11789

Angol cím

Android.Sandorat

Felfedezés dátuma

2014.11.06.

Súlyosság

Alacsony

Érintett rendszerek

Android

Érintett verziók

Android

Összefoglaló

Az Android.Sandorat egy androidra íródott trójai, mely hátsó kaput nyit a fertőzött eszközön. Továbbá képes információkat lopni.

Leírás

A trójai az alábbi nevű csomagokkal érkezhet:

Csomagnév:

  • om.gn.cleanmasterpro
  • com.rootuninstaller.ramboosterpro
  • com.piriform.ccleaner
  • com.jasmcole.wifisolver
  • com.zero1.sandrorat
  • com.gmail.heagoo.apkeditor.pro
  • com.zero1.sandrorat
  • com.and.games505.TerrariaPaid
  • com.flyersoft.moonreaderp
  • com.devasque.fmount
  • com.appstar.callrecorderpro
  • com.mg.android

APK:

  • AndroidCleaner.apk
  • SmartRAMBooster.apk
  • CCleaner.apk
  • WiFi Solver FDTD v2.4.apk
  • APK Editor Pro v1.1.6.apk
  • SandroRat.apk
  • Folder_mount.apk
  • DroidJack.jar
  • Automatic_call.apk
  • weatherpro_premium_v3.5.apk

Engedélyek:

(*)Mikor a trójai telepítésre kerül,  jogosultságokat kér, hogy az alábbi tevékenységeket alkalmazni tudja : 

  • SMS üzeneteket olvasni az eszközön
  • Naplózni a beérkezett SMS üzeneteket
  • Hálózati kapcsolatot létesíteni
  • Az eszköz mikrofonját használni hangfelvételekhez
  • Külső adattárolóból olvasás
  • Külső adattárolóra írás
  • A wifi státuszhoz való hozzáférés
  • A telefon statátuszához hozzáférni
  • Új SMS üzeneteket létrehozni
  • A GPS-es keresztül helyadatokhoz hozzáférni
  • Cella információk vagy wifi segítségével helyadatokhoz hozzáférni
  • A hálózatok információjához hozzáférni
  • Kamerához hozzáférni
  • Új kontakt létrehozása.
  • Kontaktadatokat kiolvasni
  • SMS üzeneteket küldeni
  • A felhasználó híváslistájához hozzáférni
  • A felhasználó kontaktlistájába írni
  • A felhasználói listát kiolvasni a folyamatból.
  • Böngészőelőzményeket olvasni
  • A bootolás befejezése után egyszer elindítani a programot
  • Megakadályozni a processzort a mélyavásban vagy a képernyő kikapcsolását
  • Hívást kezdeményezni a telefon grafikus interfésze vagy felhasználó jóváhagyása nélkül
  • A futó folyamatok listájához hozzáférni
  • A hálózati kapcsolódási státusz megváltoztatása


A trójai egyéb alkalmazások segítségével kerülhet az eszközre, és egy telepített alkalmazás ikonjával kerül a képernyőre.

A trójai egy  távoli adminisztrációs eszköz (RAT), ami  egyéb alkalmazások segítségével kerülhet az eszközre.

A trójai hátsó kaput nyit a fertőzött eszközön, és megpróbál kapcsolódni az alábbi helyek egyikével:

  • adamat.ddns.net
  • 195.3.144.121
  • supervisor.ntdll.net
  • chj6420.ddns.net
  • antony989.ddns.net

A  (*) bekezdésben taglaltakat a trójai megpróbálja ellopni vagy végrehajtani az információkat/tevékenységeket.

Megoldás

Ne telepítsen külső forrásokból alklamazásokat.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Privilege escalation (jogosultság kiterjesztés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »