Test mózgu

Brain Test był złośliwym oprogramowaniem podszywającym się pod aplikację na Androida , która testowała IQ użytkowników . Brain Test został odkryty przez firmę Check Point zajmującą się bezpieczeństwem i był dostępny w sklepie z aplikacjami Google Play do 15 września 2015 r. Check Point określił Brain Test jako „Nowy poziom wyrafinowania złośliwego oprogramowania”.

Brain Test został przesłany dwukrotnie (com.zmhitlte.brain i com.mile.brain), począwszy od sierpnia 2015 r., w obu przypadkach „ Buncer ” Google nie wykrył złośliwego oprogramowania. Po pierwszym usunięciu w dniu 24 sierpnia 2015 r. oprogramowanie zostało ponownie wprowadzone przy użyciu zaciemniania . Tim Erin z Tripwire powiedział, że „Omijanie procesów weryfikacji Apple i Google jest podstawą kampanii mobilnego złośliwego oprogramowania”.

Okazało się, że złośliwe oprogramowanie zawiera rootkita , a rewelacja została opisana jako „bardziej przebiegła niż początkowo sądzono”.

Uważa się, że złośliwe oprogramowanie zostało napisane przez chińskiego aktora, według Shaulova z Check Point, w oparciu o użycie narzędzia do pakowania/zaciemniania z Baidu . Eleven Paths, Telefoniki , znalazła linki do wielu innych złośliwych programów na podstawie identyfikatora używanego do uzyskania dostępu do Umeng, domen internetowych , do których aplikacje miały dostęp, oraz udostępnionych obrazów jpg i png .

Wygląda na to, że aplikacja została po raz pierwszy wykryta na Nexusie 5 przy użyciu systemu zapobiegania zagrożeniom mobilnym firmy Check Point. Fakt, że system nie był w stanie usunąć złośliwego oprogramowania, zaalarmował badaczy firmy programistycznej, że jest to niezwykłe zagrożenie.

Według Check Point może być konieczne ponowne flashowanie pamięci ROM na urządzeniu, jeśli Brain Test pomyślnie zainstalował reinstalator w katalogu systemowym.

Cechy

Szkodliwe oprogramowanie zostało przesłane w dwóch formach. Funkcja pakowania była obecna tylko w drugim.

• Unika wykrycia przez Google Bouncer , unikając złośliwego zachowania na serwerach Google o adresach IP 209.85.128.0–209.85.255.255, 216.58.192.0–216.58.223.255, 173.194.0.0–173.194.255.255 lub 74.125.0.0–74. 125.255.255 lub domena nazwy „google”, „android” lub „1e100”.
• Exploity roota. Uwzględniono cztery exploity umożliwiające uzyskanie dostępu roota do systemu, aby uwzględnić różnice w jądrze i sterownikach różnych producentów i wersjach Androida, które zapewniają alternatywne ścieżki do rootowania.
• Ładunki zewnętrzne - za pośrednictwem systemu dowodzenia i kontroli. System wykorzystywał do pięciu zewnętrznych serwerów do dostarczania zmiennego ładunku, prawdopodobnie związanego głównie z reklamami.
• Pakowanie i opóźnienie czasowe. Główna pobrana część złośliwego oprogramowania znajduje się w pliku dźwiękowym, kod ładowania początkowego rozpakowuje go po pewnym czasie.
• Podwójna instalacja i ponowna instalacja. Zainstalowane są dwie kopie złośliwego oprogramowania. Jeśli jeden zostanie usunięty, drugi zainstaluje go ponownie.

Zobacz też

• Shedun
• Duch Xcode

Linki zewnętrzne

• Szczegółowa relacja w Forbes
• Wideo od Grahama Cluleya w Brain Test
• Washington Post .