Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Kolejny ordynarny chiński backdoor w Androidzie – 3 000 000 urządzeń podatnych

18 listopada 2016, 21:46 | Aktualności | komentarzy 17
TL;DR tym razem mamy niemal 3 000 000 urządzeń, które próbują komunikować się na zahardkodowane domeny – np. oyag.lhzbdvm.com. W komunikacji zwrotnej mogą otrzymać polecenie, które wykona się na telefonie z uprawnieniami root.

Aha, cała komunikacja idzie przez Internet nieszyfrowana.

To już kolejna ciekawostka wypuszczona przez chińskich inżynierów (co dopiero informowaliśmy o innym backdoorze).

Z opublikowanego raportu wynika, że wybrane telefony (do tej pory zaobserwowano 55 modeli) próbowały łączyć się do 3 zahardkodowanych domen (były one 'opuszczone’ i zostały wykupione przez badaczy):

  • oyag[.]lhzbdvm[.]com
  • oyag[.]prugskh[.]net
  • oyag[.]prugskh[.]com

Po pierwsze, urządzenia wysyłały tam pewne dane o użytkowniku (m.in. numer telefonu czy numer IMEI) – całość w plaintext:

wysyłane dane

wysyłane dane

W odpowiedzi od serwera możliwe są z kolei do wykonania różne funkcje 'diagnostyczne’. W tym uruchomienie dowolnego polecenia jako root na telefonie. Przykład poniżej:

server-response-1

Aby dodać całej akcji smaczku, sam proces obsługujący tą komunikację na telefonie ukrywa swoją obecność przed takimi poleceniami jak ps czy top.

Badacze do tej pory wykryli połączenia do stworzonych przez siebie serwerów (domeny powyżej) z prawie 3 000 000 urządzeń (55 modeli) a liczba ta rośnie. Zaznaczają również inny scenariusz wykorzystania backdora – wystarczy dowolny atak MiTM (podłączenie do publicznego hotspota…) i atakujący może wstrzyknąć polecenie, które wykona się jako root.

affected-devices

Najpopularniejsze podatne modele

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. SuperTux

    Dobra, a jak to us€ńąć i jakie modele są podatne.

    Odpowiedz
  2. Przemek

    Az oczy bola jak widze taki tekst „zahardkodowane domeny”

    Odpowiedz
    • Dla nas to miłe słowo. Tak jak 'zhackowany’ np. ;)

      Odpowiedz
  3. dzek

    Tu nie chodzi o same urządzenia czy poszczególne modele. Chodzi o sprzedawców, którzy dogrywają takie rzeczy do sprzedawanych telefonów. Gdyby sprzedawali też telefony Sony i inne to też by były takie rzeczy.

    Ot trafiło na to, że kraj, w którym produkuje się tanie rzeczy jest jednocześnie krajem przodującym w produkcji malware. I przez to „chińszczyzna” dostaje dwa razy po dupie.

    Odpowiedz
    • mar

      Nie sądzę żeby to byli sprzedawcy , mam na myśli detalistów :P Przecież samych telefonów jest 3mln – Może to jakieś Chińskie „NSA” zainfekowało te telefony ..inwigilacja kochani :D

      Odpowiedz
  4. raj

    I pewnie głównie o MiTM chodziło twórcom tego backdoora, skoro te domeny nie istniały.

    Odpowiedz
    • trzeba by sprawdzić historię czy nie zapomnieli odnowić (tak jak ostatnio było w TP-Linku)

      Odpowiedz
  5. Sme

    No więc jakie są te modele?

    Odpowiedz
    • Pokazane w zestawieniu – choć jest dużo 'other’

      Odpowiedz
  6. kcroot

    Jak można zbadać podatność na swoim fonie?

    Odpowiedz
    • kcroot

      Wydaję się z raportu że to tylko gównianie chińczyki mają te podatności

      Odpowiedz
  7. Rob

    Lepiej dajcie wskazówkę jak wykryć u siebie czy telefon jest tym zarażony.

    Odpowiedz
    • Ten temat – to najprościej posłuchać komunikacji do netu. WiFi domowe + podsłuchanie co idzie do Internetu + Wireshark np.

      Odpowiedz
  8. Krzysztof Kozłowski

    Super sprawa…
    Na wypadek wojny można sparaliżować komunikację w dowolnym miejscu na świecie.

    Ciekawe czy markowe telefony też mają takie smaczki :D
    I ciekawe czy google ma możliwość usadzić dowolny telefon jak będzie chciało…

    Odpowiedz
  9. Adam

    Pytanie raczej nie czy ma możliwość ale kiedy ją wykorzysta. Wystarczy odpowiednio skonstruowana licencja, którą większość „przeklikuje” na telefonie i sami się na taką możliwość zgodzimy. Sprawa pewnego „systemu operacyjnego” pokazuje jak dla wygody i darmowości można pozbyć się prywatności. Może teraz zgodzimy się na codzienne klikanie w reklamy… nakierowane reklamy naszymi danymi, aby dostać kolejny kolorowy paciorek dla Indaian od korporacji….

    Odpowiedz
  10. bolO

    …a kto kontroluje DNSy ten rządzi

    Odpowiedz
  11. Sekator

    Co tam 3 000 000 urządzeń…
    Przejrzałem pobieżnie swój fonik po tym artykule.
    Mój telefon to OVERMAX Vertis Aim 5.5, wersja androida 5.1 Lollipop kupiony kilka miesięcy temu z polskiej sieci Selgros.
    Na pierwszy ogień poszła aplikacja „Launcher” (czyli obsługa „puplitu” androida) podmieniona oczywiście przez chińskiego producenta.
    Rezultat analizy:
    1. Komunikuje sie ze stroną dla api ze stroną nq.com. Zarejestrowana na newiadomo kogo, bo z usługą prywatności w DNS.
    2. Druga rzecz bardziej ciekawa…wewnątrz apki jest dodatkowy plik, który jest drugą ukryta aplikacją. Ta już się komunikuje ze stroną shuzilm.cn (https://www.shuzilm.cn/). No i tu sie zaczyna. Generalnie gromadzą masowo dane i agregują z różnych źródeł. Chwalą sie że mają zidentyfikowana ponad 700 MILIONÓW chińskich uzytkowników (https://www.shuzilm.cn/solution-plan.html). Czy w tą liczbę są wliczone także takie teleofny jak mój – czyli chińszczyzna eksportowana do europy – nie wiem. w każdym razie polecam sobie stronkę pooglądać, poczytać (przez jakiegoś translatora bo w całości po chińsku).
    Ja zalączam link do jednego z obrazków ze zrzutem ekranu z Excela w którym widac zakres danych wyciąganych z telefonu. Pewnie kolumna z GPS też tam jest (https://www.shuzilm.cn/img/jietu/xiangxishuju1.png). Domyślam się, że zamazane kolumny to pewnie kod operatora i numer telefonu. w każdym razie jest np IMEI i MAC adresy.

    Pozostaje mi chyba tylko poszukać jakiegoś launchera na podmiankę…
    Byle tylko też tak nie szpiegował. Albo młotek.

    Odpowiedz

Odpowiedz