Apêndice A – Anatomia de Malwares.
Neste apêndice é apresentado um estudo de alguns Malwares realizado de acordo com o modelo proposto – o SDD – com o intuito de prover conteúdo para uma base de conhecimento acerca destas ameaças. São abordados alguns tipos de malwares de acordo com a classificação da qual trata o Capítulo 2.
O vírus CABIR foi um dos primeiros casos de malware para dispositivos móveis, identificado em 2004. Trata-se de um vírus que ativa periodicamente a interface Bluetooth do dispositivo e a monopoliza, impedindo o uso para outras finalidades. Assim que é instalado, ele inicia-se automaticamente. O vírus também se inclui na seqüência de inicialização do sistema (via mecanismo de "Reconhecimento MIME ") para que ele seja ativado sempre que o dispositivo móvel for ligado, quando então exibe uma caixa de mensagem. O vírus também é espalhado com diversas versões e nomes, como por exemplo, Caribe.sis, EPOC.Cabir (NAV), EPOC_CABIR (Trend), Symbian.Cabir.gen, Symbian/Cabir.a, Symbian/Cabir.b, Symbian/Cabir.rsc e Worm.Symbian.Cabir (AVP).
O Pmcryptic é vírus polimórfico que tenta se espalhar por meio de cartões de memória e realizar ataques de negação de serviço. Descoberto em 2008, esse vírus tenta:
- Executar um ataque de negação de serviço para o número 1860; - Evitar qualquer entrada do usuário de que está sendo recebido
- Copiar-se para a pasta de 2577 com o nome de arquivo "autorun.exe" em todos os cartões de memória encontrados;
- Copiar-se para \ system.exe e definir o atributo “oculto”; - Lançar o explorador de arquivos do Windows ;
- Exibir um caixa de mensagem com a mensagem de erro "目录 损坏 (Pasta ou diretório) deixou de funcionar."
- Encontrar todos os diretórios e criar uma versão nova polimorficamente modificada (criptografada) de si mesmo como <dirname>. exe e definir o atributo oculto
- Mudar as configurações de cor do sistema;
O virus Beselo, registrado em 2008, é distribuído por meio de arquivos de imagem, como "beauty.jpg", por exemplo. Embora a extensão seja a de um arquivo de imagem, o instalador ainda vai reconhecer o arquivo e tentar instalar. O malware também tenta se disfarçar
como outros tipos de arquivos de mídia com nomes de arquivos sugestivos, tais como "love.rm" e "sex.mp3". Ele tenta propagar-se por meio de MMS, enviando uma mensagem MMS para cada número na lista telefônica do dispositivo a cada dois minutos. Se a conexão GPRS está desativada então tentará se espalhar por meio de Bluetooth. O malware não mantem qualquer controle de dispositivos já infectados e continuará a enviar-se via Bluetooth para os dispositivos próximos. O malware também tenta evitar sua exclusão copiando-se para o cartão de memória. Ele copia um arquivo de MDL para o diretório \ Recogs \ \ System, a fim de executar-se na inicialização. Se qualquer um dos componentes do malware (EXE, SIS, MDL) foram apagados, o vírus os restaura.
Lascon é um vírus de 2005 que se espalha por meio de redes Bluetooth. Ele assume o
controle do canal de comunicação e começa a procurar telefones próximos para contaminá-los. O FakeFlash.C, de 2012, é um Trojan em distribuído em formato de aplicação para Android que tenta cobrar uma taxa para o download e instalação do Adobe Flash Player. Quando é executado, abre uma página do site PayPal solicitando o pagamento, embora o Adobre Flash Player esteja disponível para download gratuito no site da Adobe. Tem suas variantes com os nomes de Android.Trojan.FakeFlash ou Android/FakeApp e ataca o sistema operacional Android. O método de infecção é por meio de links em páginas web, embora já tenha sido encontrado na lista de aplicações da Google – Google Play.
O Trojan Gidix.A, detectado em Novembro de 2013, simula um aplicativo gerenciador de configurações do sistema Android, porém quando ativado o aplicativo carrega os dados sensíveis do dispositivo para um servidor remoto, e também envia silenciosamente mensagens SMS e monitora as chamadas e mensagens SMS enviadas pelo usuário. É encontrado também com os nomes Gidix, KRSMS-A e MisoSMS-B. É distribuído na forma de um aplicativo gerenciador de configurações do sistema chamado adv Service. Como parte do processo de instalação, o aplicativo solicita acesso de administrador do dispositivo, o qual pode permitir a ele bloquear o dispositivo. Uma vez instalado, o aplicativo envia mensagens SMS sorrateiramente. Para disfarçar essa atividade, ele também monitora as mensagens SMS e as chamadas de telefones e verifica se o prefixo de origem é 82 ou 010, possivelmente indicando que este aplicativo foi direcionado para usuários sul-coreanos. O aplicativo limpa o registro de chamadas e de todas as mensagens correspondente a estes números. Além disso, o aplicativo envia disfarçadamente as seguintes informações do dispositivo para um servidor remoto:
Mensagens SMS;
Número do telefone;
Nomes de redes.
Para se proteger o trojan usa o ofuscamento da APKProtection, e também contém o código relacionado com a criptografia e comunicação de uma biblioteca nativa do Android.
O AVPass.C , de Janeiro de 2014, é um Trojan distribuído sob a forma de uma aplicação de nome “Clock” para o sistema operacional Android. Enquanto ativo, no entanto, ele rouba informações do dispositivo e tenta desinstalar ou desativar os aplicativos relacionados à segurança instalados no dispositivo. Os ícones são chamados de "atualização do sistema", "360Antivirus" e "QQ"; os últimos dois nomes referem-se a aplicativos populares, mas nenhum dos ícones realmente levam a um programa. Ao clicar em qualquer um dos ícones inicia-se o trojan disfarçadamente em segundo plano, enquanto que os ícones de aplicativos recém-criados são excluídos. Enquanto isso o trojan coleta os seguintes detalhes do dispositivo:
Mensagem SMS e registo de chamadas;
Dados de localização GPS;
Dados da lista de contatos;
Fotos armazenadas;
Registro de dados do telefone;
Além disso, o trojan verifica os aplicativos de segurança / antivírus que constam em uma lista interna sua para ver se estão instalados no dispositivo. Se encontrado, o trojan requisita os privilégios de root user para desinstalar o aplicativo de segurança / antivírus ou fazê-lo ignorar a si, modificando o banco de dados daquele aplicativo para evitar a sua detecção. O trojan Fakeinst.HB é um clone reembalado de um popular jogo de corrida de carros de acesso gratuito. Ao contrário do original, o clone reembalado exige que o usuário pague uma taxa, supostamente para “acessar níveis mais elevados” do jogo. O jogo original é um jogo de corridas de carros altamente popular para o Android, disponível completamente livre na Google Play Store. O trojan, porém, inclui uma rotina que exige pagamento para continuar a jogar. Durante o jogo o trojan exibe uma mensagem de alerta a cada dez minutos, informando ao usuário que ele deve pagar, supostamente para obter acesso aos níveis mais elevados do jogo. A escala de valores de pagamentos é variável e é apresentada na moeda vietnamita Dong. O usuário é instruído a fazer o pagamento seja por cartões de pré-pagos ou por SMS. Se o usuário
optar por enviar um SMS, o aplicativo irá enviar uma mensagem SMS para um determinado número. Se o usuário se recusa a pagar e ignora as mensagens repetidas, após um período de tempo é direcionado para o site do reempacotador, no qual são mostrados mais jogos (originalmente livres).
O adware Counterclank.A é um componente de publicidade usado em vários aplicativos suportados por anúncios. Durante a execução, o componente discretamente recolhe os dados do dispositivo e encaminha-os para um local remoto. O módulo de publicidade é incluído em vários aplicativos, jogos tipicamente populares ou programas relacionados com tratamento de imagens. Os próprios aplicativos não são maliciosos e são softwares livres patrocinados por anúncios, que simplesmente incluíram o módulo de publicidade para fornecer a receita para os desenvolvedores de aplicativos. Além de exibir os anúncios, no entanto, o módulo também provoca vazamentos de informações do dispositivo para um local remoto, sem o conhecimento do usuário. Enquanto o aplicativo está sendo executado, o módulo recupera as seguintes informações do dispositivo e encaminha os dados para http:// [...] apperhand.com [...]:
Fabricante do dispositivo;
Modelo do dispositivo;
Versão do dispositivo;
Número IMEI (International Mobile Equipment Identity);
Versão do sistema operacional;
Configurações locais do telefone;
Número do telefone;
Endereço IP de origem;
User Agent.
O módulo também adiciona um ícone de pesquisa para a tela inicial do dispositivo e um atalho no navegador padrão do dispositivo. O ícone e o atalho têm fins publicitários, e levam o usuário a acessar um suposto provedor de busca de dispositivos móveis em http:// [...] searchmobileonline.com [...].
O risktool SmsReg.A, de março de 2013, é comercializado sob o nome de “Battery Improve”, e seu apelo comercial é ajudar a maximizar o uso da bateria do dispositivo. Sem o conhecimento do usuário, o aplicativo também recolhe as seguintes informações:
Chave da API
Portador
Fabricante do dispositivo
Modelo do dispositivo
Localização GPS
Número de Identidade Internacional de Equipamento Móvel (IMEI)
Operador de rede
Nome de software
Versão do SDK
O BaseBridge.A é um vírus identificado em Junho de 2011 que atinge o sistema operacional Android. Ele encerra os processos de determinados aplicativos de segurança e tenta enviar SMS e também acessar a internet. Requer a instalação intencional do usuário e é distribuído como um arquivo APK chamado "anserverb_qqgame.apk".
O Loozfon.A é um vírus que ataca o sistema operacional Android e envia informações sensíveis para um servidor remoto. Descoberto em Agosto de 2012, esse malware requer a instação intencional pelo usuário do dispositivo, geralmente por meio de um link. Android / Loozfon.A é distribuído em sites japoneses voltados para usuárias. O vírus solicita as seguintes permissões: CALL_PHONE, INTERNET, READ_PHONE_STATE, READ_CONTACTS, ACCESS_NETWORK_STATE, e cria um ícone no menu principal do dispositivo. Uma vez que é executado o Loozfon.A mostra um texto em japonês e em paralelo posta informações confidenciais (lista de contatos, e-mail, número de telefone) em uma URL.