Malware jak Volkswagen

Pamiętacie skandal z Volkswagenem? W 2015 roku wyszło na jaw, że Volkswagen zaimplementował w swoich samochodach oprogramowanie, które miało sfałszować wyniki niezależnych kontroli emisji spalin przez samochody z logo VW. I Porsche. I Audi. W dużym skrócie polegało to na tym, że gdy samochód uznawał, że jest poddawany testom (nie przemieszczał się), przełączał silnik w tryb mniej wydajny – za to bardziej ekologiczny.

Podobnie działają twórcy złośliwego oprogramowania. By utrudnić analizę i skuteczną walkę z malware, oprogramowanie to próbuje zorientować się, czy nie jest przypadkiem uruchomione na komputerze badacza, i dopiero jeśli uzna, że nie – przejść do zaprojektowanej złośliwej aktywności. Do tej pory techniki wykrywania sandboksa były dość standardowe – malware wyszukiwało elementów typowych dla maszyn wirtualnych, sprawdzało czy komputer nie jest czystą instalacją systemu operacyjnego, weryfikowało istnienie łączności ze światem zewnętrznym, wreszcie – przeszukiwało dysk pod kątem istnienia kont o nazwie “tester”, “security” itp.

Badacze z Trend Micro trafili ostatnio na dwie obecne w Google Play aplikacje na Androida, które zastosowały ciekawą metodę sprawdzania, czy są uruchamiane w środowisku testowym. Currency Converter oraz BatterySaverMobi (już usunięte ze sklepu, wcześniej sama BatterySaverMobi była ściągnięta ponad 5’000 razy) sprawdzają, czy czujniki telefonu wykrywają jakiś ruch. Jeśli odczyt z akcelerometru sugeruje, że telefon jest trzymany w ręce, aplikacje próbują przekonać użytkownika do zainstalowania fałszywej aktualizacji systemu. Jeśli czujniki nie dostarczają żadnych informacji – jak w typowym środowisku do debugowania – część odpowiedzialna za złośliwe zachowanie nie jest uruchamiana.

Źródło: Google Play Apps Drop Anubis Banking Malware, Use Motion-based Evasion Tactics

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z ISEC.pl, zespołem zajmującym się badaniem bezpieczeństwa systemów informatycznych.

View all posts by lmj →