4. Admin Fax: +70952236584
Admin Fax Ext:
Admin Email: oleg_makarov555@yahoo.com
Registry Tech ID:
Tech Name: Oleg Makarov
Tech Organization: Private Person
Tech Street: Lenina 345
Tech City: Moskva
Tech State/Province: Moskva
Tech Postal Code: 52236
Tech Country: RU
Tech Phone: +70952236584
Tech Phone Ext:
Tech Fax: +70952236584
Tech Fax Ext:
Tech Email: oleg_makarov555@yahoo.com
Name Server: ns1.freehosting.io
Name Server: ns2.freehosting.io
Name Server: ns3.freehosting.io
Name Server: ns4.freehosting.io
DNSSEC: Unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.
internic.net/
>>> Last update of WHOIS database: 2014-04-24T12:02:37Z <<<
oleg_makarov555@yahoo.com also registered the following domains:
• banking-security.net
• certificate-security.com
• chromeupd.pw
• ffupdate.pw
• ieupdate.pw
• safe-time.net
• security-apps.biz
• security-apps.net
• sfotware.pw
• softwareup.pw
Sowohl safe-time.net als auch safe-browser.biz sind unter leicht voneinander
abweichenden Schreibweisen eines Namens – „Oleg Makarevich“ – registriert. Oleg
Makarevich ist auch der Name eines Sicherheitsforschers an einer Hochschule
(siehe http://www.informatik.uni-trier.de/~ley/pers/hd/m/Makarevich:Oleg_B=).
Hierbei handelt es sich wahrscheinlich um ein Ablenkungsmanöver der
Cyberkriminellen.
App-Daten
Entdeckte C&C-Server:
• oguhtell.ch
• bastelfunboard.ch
Beide oben genannten Server stehen im Zusammenhang mit rechtmäßigen
Websites, die jedoch kompromittiert wurden.
Basierend auf dem Code der mobilen App wurden die ersten C&C-Server als
Binär-Ressourcendateien konfiguriert. Die App verfügt außerdem über eine
Datei blfs.key, die anscheinend der Blowfish-Kodierungsschlüssel ist, um die
Konfigurationsdatei zu entschlüsseln, die in der verschlüsselten Datei config.cfg
gespeichert ist. Nach der Entschlüsselung handelt es sich hierbei allem Anschein
nach um eine .XML-Datei.
Die App kann SMS-Nachrichten senden und empfangen und diese vor den
5. Anwendern verbergen. Sie nutzt eine eigene SQLite-Datenbank zum Speichern
von Nachrichten. Die App akzeptiert Remote-Befehle wie „START“, „STOP“ und
„DELE“. Zudem kann sie Anmeldedaten von Anwendern per SMS und HTTP
POST senden.
An einigen Stellen im Code kommt die Zeichenfolge Log.d(„HTTP“, „Obnilim rid“)
vor. Das ist russische Umgangssprache und bedeutet „Auf Null setzen“.
Beim Durchforsten des Internets fanden wir automatisierte Analysen der bösartigen App, die
ein etwas anderes Verhalten zeigten. Die folgenden Quellen belegen,
dass die App Anwender zur Eingabe von Bankkonto-Daten aufforderte, wie z. B.
Kontonummern und PIN-Codes:
• http://www.apk-analyzer.net/analysis/646/3752/0/html
• http://www.apk-analyzer.net/analysis/2026/10631/0/html
In den von uns analysierten .APK-Dateien konnten wir die besagten Verhaltensweisen
jedoch nicht erkennen. Möglicherweise haben die Angreifer ihre Techniken
geändert.
6. Anwendern verbergen. Sie nutzt eine eigene SQLite-Datenbank zum Speichern
von Nachrichten. Die App akzeptiert Remote-Befehle wie „START“, „STOP“ und
„DELE“. Zudem kann sie Anmeldedaten von Anwendern per SMS und HTTP
POST senden.
An einigen Stellen im Code kommt die Zeichenfolge Log.d(„HTTP“, „Obnilim rid“)
vor. Das ist russische Umgangssprache und bedeutet „Auf Null setzen“.
Beim Durchforsten des Internets fanden wir automatisierte Analysen der bösartigen App, die
ein etwas anderes Verhalten zeigten. Die folgenden Quellen belegen,
dass die App Anwender zur Eingabe von Bankkonto-Daten aufforderte, wie z. B.
Kontonummern und PIN-Codes:
• http://www.apk-analyzer.net/analysis/646/3752/0/html
• http://www.apk-analyzer.net/analysis/2026/10631/0/html
In den von uns analysierten .APK-Dateien konnten wir die besagten Verhaltensweisen
jedoch nicht erkennen. Möglicherweise haben die Angreifer ihre Techniken
geändert.