Összefoglaló
Az Android.Sandorat egy androidra íródott trójai, mely hátsó kaput nyit a fertőzött eszközön. Továbbá képes információkat lopni.
Leírás
A trójai az alábbi nevű csomagokkal érkezhet:
Csomagnév:
- om.gn.cleanmasterpro
- com.rootuninstaller.ramboosterpro
- com.piriform.ccleaner
- com.jasmcole.wifisolver
- com.zero1.sandrorat
- com.gmail.heagoo.apkeditor.pro
- com.zero1.sandrorat
- com.and.games505.TerrariaPaid
- com.flyersoft.moonreaderp
- com.devasque.fmount
- com.appstar.callrecorderpro
- com.mg.android
APK:
- AndroidCleaner.apk
- SmartRAMBooster.apk
- CCleaner.apk
- WiFi Solver FDTD v2.4.apk
- APK Editor Pro v1.1.6.apk
- SandroRat.apk
- Folder_mount.apk
- DroidJack.jar
- Automatic_call.apk
- weatherpro_premium_v3.5.apk
Engedélyek:
(*)Mikor a trójai telepítésre kerül, jogosultságokat kér, hogy az alábbi tevékenységeket alkalmazni tudja :
- SMS üzeneteket olvasni az eszközön
- Naplózni a beérkezett SMS üzeneteket
- Hálózati kapcsolatot létesíteni
- Az eszköz mikrofonját használni hangfelvételekhez
- Külső adattárolóból olvasás
- Külső adattárolóra írás
- A wifi státuszhoz való hozzáférés
- A telefon statátuszához hozzáférni
- Új SMS üzeneteket létrehozni
- A GPS-es keresztül helyadatokhoz hozzáférni
- Cella információk vagy wifi segítségével helyadatokhoz hozzáférni
- A hálózatok információjához hozzáférni
- Kamerához hozzáférni
- Új kontakt létrehozása.
- Kontaktadatokat kiolvasni
- SMS üzeneteket küldeni
- A felhasználó híváslistájához hozzáférni
- A felhasználó kontaktlistájába írni
- A felhasználói listát kiolvasni a folyamatból.
- Böngészőelőzményeket olvasni
- A bootolás befejezése után egyszer elindítani a programot
- Megakadályozni a processzort a mélyavásban vagy a képernyő kikapcsolását
- Hívást kezdeményezni a telefon grafikus interfésze vagy felhasználó jóváhagyása nélkül
- A futó folyamatok listájához hozzáférni
- A hálózati kapcsolódási státusz megváltoztatása
A trójai egyéb alkalmazások segítségével kerülhet az eszközre, és egy telepített alkalmazás ikonjával kerül a képernyőre.
A trójai egy távoli adminisztrációs eszköz (RAT), ami egyéb alkalmazások segítségével kerülhet az eszközre.
A trójai hátsó kaput nyit a fertőzött eszközön, és megpróbál kapcsolódni az alábbi helyek egyikével:
- adamat.ddns.net
- 195.3.144.121
- supervisor.ntdll.net
- chj6420.ddns.net
- antony989.ddns.net
A (*) bekezdésben taglaltakat a trójai megpróbálja ellopni vagy végrehajtani az információkat/tevékenységeket.
Megoldás
Ne telepítsen külső forrásokból alklamazásokat.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Privilege escalation (jogosultság kiterjesztés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com
