35914913023
Malware_Is_Still_Spying_On_You_Even_When_Your_Mobile_Is_Off-Hero

Escrito por AVG Signal Team
Publicado em September 14, 2018

Mas em 2015, a equipe de segurança móvel da AVG descobriu uma nova variedade de malware que pode desafiar esse preconceito. É um tipo de spyware conhecido como Android/PowerOffHijack, que sequestra o processo de desligamento, para fazer seu telefone parecer desligado, embora ainda esteja funcionando.

Este artigo contém :

    The AVG Virus Lab is made of an advanced team of cybersecurity researchers

    Visto pela primeira vez na China, o spyware se espalhou pelas lojas de aplicativos chinesas e infectou milhares de dispositivos com versões do Android anteriores à v.5 (Lollipop). Os usuários devem conceder ao malware a permissão de root, para que ele possa sequestrar o processo de desligamento.

    Depois de pressionar o botão liga/desliga, o telefone exibe uma animação de desligamento autêntica e parece ter sido desligado. Mas, embora a tela esteja preta, o telefone continua ligado.

    Enquanto o telefone estiver neste estado, o spyware Android/PowerOffHijack pode fazer chamadas, tirar fotos e realizar várias outras tarefas sem você saber.

    Como isso acontece?

    Análise do processo de desligamento do Android

    Em dispositivos com Android, quando o botão liga/desliga é pressionado, o malware invoca a função interceptKeyBeforeQueueing. interceptKeyBeforeQueueing verifica se o botão de desligar está pressionado e, em seguida, continua com o seguinte processo.

    The interceptKeyBeforeQueueing function in the Android mobile OS.Quando o botão liga/desliga é liberado, interceptPowerKeyUp é invocado, iniciando outro processo executável.

    Runnable code triggered by the interceptPowerKeyUp function in the Android mobile OS.De acordo com o trecho de código acima, a opção LONG_PRESS_POWER_GLOBAL_ACTIONS indica que algumas ações serão realizadas depois que o botão liga/desliga for liberado. A opção showGlobalActionsDialog abre uma caixa de diálogo de configuração do telefone para desligar, ficar mudo ou ativar o modo avião.

    Power off options within Android's shutdown procedure.Se você selecionar a opção power off o malware chama mWindowManagerFuncs.shutdown.

    The mWindowManagerFuncs.shutdown interface object in the Android mobile OS.

    Porém, mWindowManagerFuncs é um objeto de interface, que, na verdade, chamará a função de desligamento ShutDownThread. ShutDownThread.shutdown é o início real do processo de desligamento. Ele desliga o serviço de rádio primeiro e chama o serviço do gerenciador de energia para desligar a energia.

    Finalmente, no serviço de gerenciamento de energia, uma função nativa é chamada para desligar a energia.

    The power manager service in the Android mobile OS.The native shutdown function in the Android mobile OS.Como mWindowManagerFuncs.shutdown desativa os serviços de rádio do telefone, qualquer malware que visa sequestrar o processo de desligamento precisa interferir antes que essa função seja ativada. Vamos ver como o Android/PowerOffHijack faz isso.

    Análise do malware

    Primeiro, o Android/PowerOffHijack pede a permissão de root. Depois de obtê-la, o spyware injeta o processo system_server e fazer hook do objeto mWindowManagerFuncs.

    Neste ponto, ao pressionar o botão liga/desliga, você verá uma caixa de diálogo falsa em vez da versão autêntica do Android. E se você selecionar desligar, será exibida uma animação falsa de desligamento, a tela será desligada, mas a energia continuará ligada.

    A portion of code demonstrating how Android/PowerOffHijack takes over an Android device's shutdown process.

    Por fim, para fazer com que seu celular pareça realmente desligado, também é preciso fazer hook em alguns serviços de transmissão do sistema.

    Vejamos alguns exemplos:

    Gravação de chamadas

    Code showing how the Android/PowerOffHijack Android spyware records a call

    Transmissão de mensagens privadas

    Code showing how the Android/PowerOffHijack Android spyware sends messages

    Luta contra spyware com o AVG AntiVirus para Android

    Mesmo o spyware mais furtivo, como Android/PowerOffHijack, não consegue enganar o AVG AntiVirus para Android. Nossa abrangente ferramenta de segurança móvel verifica seu dispositivo para detectar e remover malware e também o mantem seguro contra ataques futuros. Proteja seus dispositivos contra spyware, vírus e outros malwares e seus dados contra ladrões do mundo real com o Rastreador de Telefone Anti-Theft integrado.

    Proteja seu iPhone contra ameaças com o AVG Mobile Security

    Instalação gratuita

    Proteja seu Android contra ameaças com o AVG AntiVirus

    Instalação gratuita
    Dicas
    Segurança
    AVG Signal Team
    14-09-2018