Hjärntest

Brain Test var ett stycke skadlig programvara som maskerade sig som en Android -app som testade användarnas IQ . Brain Test upptäcktes av säkerhetsföretaget Check Point och var tillgängligt i Google Plays appbutik fram till den 15 september 2015. Check Point beskrev Brain Test som "A new level of sophistication in malware".

Brain Test laddades upp vid två tillfällen (com.zmhitlte.brain och com.mile.brain), med start i augusti 2015, båda gångerna misslyckades Googles " Bouncer " att upptäcka skadlig programvara. Efter den första borttagningen den 24 augusti 2015 återintroducerades programvaran med hjälp av en obfuskeringsteknik . Tim Erin från Tripwire sa att "att förbigå Apples och Googles granskningsprocesser är grundstenen i en mobil skadlig kampanj."

Skadlig programvara visade sig innehålla ett rootkit , avslöjandet beskrivs som "slugare än man först trodde".

Skadlig programvara tros ha skrivits av en kinesisk skådespelare, enligt Shaulov från Check Point, baserat på användningen av ett packnings-/obfuskeringsverktyg från Baidu . Eleven Paths, ett Telefonica -ägt företag, hittade länkar till andra delar av skadlig programvara, baserat på id:t som används för att komma åt Umeng, Internetdomäner som apparna har åtkomst till och delade jpg- och png -bilder.

Det verkar som om appen först upptäcktes på en Nexus 5 med Check Points Mobile Threat Prevention System. Det faktum att systemet inte kunde ta bort skadlig programvara gjorde programvaruföretagets forskare uppmärksamma på att det var ett ovanligt hot.

Enligt Check Point kan det bli nödvändigt att flasha om ROM - minnet på en enhet om Brain Test framgångsrikt har installerat en ominstallationsprogram i systemkatalogen.

Funktioner

Skadlig programvara laddades upp i två former. Packningsfunktionen fanns bara i tvåan.

• Undviker upptäckt av Google Bouncer genom att undvika skadligt beteende på Googles servrar med IP-adresser 209.85.128.0–209.85.255.255, 216.58.192.0–216.58.223.255, 173.194.0.19, 173.194.0.19, 173.194.0.19, 173.194.0.195, 72.5.0–209.55. 0–74.125.255.255, eller domän namn "google", "android" eller "1e100".
• Root exploits. Fyra exploateringar för att få root-åtkomst till systemet inkluderades, för att ta hänsyn till variationer i kärnan och drivrutiner från olika tillverkare och Android-versioner, som ger alternativa sökvägar till root.
• Externa nyttolaster - via lednings- och kontrollsystem. Systemet använde upp till fem externa servrar för att tillhandahålla variabel nyttolast, som tros främst vara reklamrelaterat.
• Packning och tidsfördröjning. Den huvudsakliga nedladdade skadliga delen finns i en ljudfil, bootstrap-koden packar upp detta efter en tidsfördröjning.
• Dubbelinstallation och ominstallation. Två kopior av skadlig programvara är installerad. Om den ena tas bort, installerar den andra om den.

Se även

• Shedun
• Xcode Ghost

externa länkar

• Detaljerad bevakning på Forbes
• Video från Graham Cluley om hjärntest
• Washington Post .