Android.Trojan-Spy.Buhsam.A: kém vagy trójai?
A G Data szakértői különösen alapos vizsgálatnak vetették alá a nyílt forráskódú, Buhsam.A nevű androidos trójai és kémkedő kártevőt. A kártevő elemzése rávilágít, milyen lehetőségei vannak egy hackernek, ha eszközünket megfertőzi.
Az ESET kutatója, @LukasStefanko fedezte fel a nyílt forráskódú, kémkedő androidos kártevőt, és osztotta meg a közösségi média felületein. A G Data szakértői az Android.Trojan-Spy.Buhsam.A nevet adták a fejlesztés alatt lévő kártevőnek, és alaposan megvizsgálták a forráskódját.
A kártevő első pillantásra egy kémkedő alkalmazásnak tűnik, amely internetezési előzményeinkre, fényképeinkre és a WhatsApp adatbázisra (melyben az összes üzeneteinket tároljuk) kíváncsi. Érdeklik a telefonos kapcsolataink, telefonálási előzményeink is, és még arra is figyel, hogy a készülék akkumulátora milyen töltöttségi szinten van. Az nem tudható, hogy ezeket az adatokat pontosan mire és ki szeretné használni. A kártevő forráskódját az earthshakira nevű felhasználó töltötte fel a Githubra, a származási helyének Indiát jelölte meg.
A G Data szakértőjének elemzése feltárta azt is, hogy a kártevő még nincs befejezve. Aktivizálódása esetén a Service started, vagyis „a szolgáltatás elindult” üzenet jelenik meg – a kártevők inkább rejtett módban, esetleg egy érdekes, hasznos alkalmazásnak álcázva szeretnek működni. Elindulása után kapcsolatba lép egy távoli szerverrel. Ezen keresztül az androidos készüléken futó alkalmazásnak küldött üzenetek segítségével nyeri ki a telefonból a számára érdekes információkat.
Például a contacts üzenetre a kártevő a getContacts() függvényt hívja meg, mely kiolvassa a telefonkönyvben tárolt neveket és a hozzájuk társított telefonszámokat. Vagy a callog üzenetre a telefonálási előzményeket menti el és küldi el a távoli szervernek. Az updatebattery üzenetre a válasz még nincs kidolgozva, de úgy tűnik föl, hogy az akkumulátor állapotára kíváncsi a kártevő.
A browsehistory üzenet valószínűleg a böngészési előzményeket szeretné kinyerni. A meghívott gethistory() függvény viszont az elmentett könyvjelzőket és nem a mobiltelefon böngészőjének az előzményeit nyeri ki. A kártevőt ugyanakkor kitartónak szánják, mert programozása szerint a telefon újraindításakor ez is újra betöltődnék.
Aki a G Data szakértőjének részletes elemzésére kíváncsi, az itt érheti el az angol nyelvű dokumentumot.
