DualToy: Ένα νέο trojan στοχεύει υπολογιστές με Windows για να σερβίρει κακόβουλες εφαρμογές σε συσκευές Android και iOS που το θύμα συνδέει στο μολυσμένο σύστημα μέσω καλωδίων USB.
Το trojan, ονομάζεται DualToy και εντοπίστηκε για πρώτη φορά τον Ιανουάριο του 2015. Στην αρχική του όμως μορφή, ήταν σε θέση να μολύνει μόνο συσκευές με Android.
Από τότε το DualToy ενημερώθηκε και έτσι μπορεί να μολύνει και συσκευές με iOS. Σύμφωνα με την εταιρεία ασφαλείας Palo Alto Networks, ο αριθμός των διαφορετικών δειγμάτων του κακόβουλου λογισμικού έχει φτάσει αυτή τη στιγμή στα 8.000 κομμάτια.
Το DualTοy είναι γραμμένο σε C++ και Delphi, και το πρώτο πράγμα που κάνει μετά την μόλυνση ενός υπολογιστή είναι να κατεβάσει και να εγκαταστήσει το Android Debug Bridge (ADB) αλλά και drivers toy iTunes για Windows.
Το trojan υποθέτει ότι κάθε συσκευή που είναι συνδεδεμένη στον υπολογιστή είναι η συσκευή του ιδιοκτήτη. Έτσι χρησιμοποιεί αρχεία την αντίστοιχη άδεια που έχει ανακαλύψει στον υπολογιστή του χρήστη προσπαθώντας να προσπεράσει τον έλεγχο ταυτότητας της κινητής συσκευής που είναι συνδεδεμένη μέσω κάποιας θύρας USB.
Μετά την επιτυχή πρόσβαση στη συσκευή, το DualToy έρχεται σε επικοινωνία με έναν C&C server, κατεβάζει μια λίστα εφαρμογών για να τις εγκαταστήσει, και στη συνέχεια τις εγκαθιστά στη συσκευή του θύματος.
Για να αποφευχθούν οι επιπλοκές κατά την διαδικασία της εγκατάστασης των εφαρμογών, σε συσκευές Android, το DualTοy κατεβάζει επίσης και ένα ειδικό script από τον C&C server. Αυτό το script κάνει root τη συσκευή και δίνει στο DualToy τη δυνατότητα εγκατάστασης των εφαρμογών χωρίς να χρειάζεται κάποια αλληλεπίδραση από τον χρήστη.
Για τις συσκευές με iOS, το Trojan κατεβάζει και τρέχει ένα script που συλλέγει διάφορα δεδομένα της συσκευής, όπως: IMEI, IMSI, ICCID, τον αύξοντα αριθμό και τον αριθμό τηλεφώνου. Ο σκοπός αυτής της λειτουργίας είναι προς το παρόν άγνωστη.
Στις συσκευές με iOS, το DualToy συλλέγει επίσης και το Apple ID μαζί με το τον κωδικό πρόσβασης του χρήστη.
Όλες οι εφαρμογές που εγκαθίστανται από το DualToy χρησιμοποιούνται για την εμφάνιση διαφημίσεων, οι οποίες παράγουν κέρδη για το διαχειριστή του Trojan.
“Αν και ικανότητα αυτής της επίθεσης μπορεί να περιοριστεί περαιτέρω με πρόσθετους μηχανισμούς (π.χ., με ενεργοποίηση του ADB και του iOS sandbox) το DualToy μας θυμίζει και πάλι πως οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν το USB για να φτάσουν τις κινητές συσκευές και πώς το κακόβουλο λογισμικό μπορεί να μεταδοθεί μεταξύ διαφόρων πλατφορμών” ανέφερε ο Claud Xiao, ερευνητής ασφαλείας της Palo Alto Networks.