«Лаборатория Касперского» провела анализ многофункциональной вредоносной программы Tordow, поражающей Android-устройства с целью кражи финансовой и другой конфиденциальной информации. Зловред распространяется в составе многих популярных мобильных приложений, которые специально модифицированы злоумышленниками. Такие приложения размещаются на различных сайтах, вне официального магазина Google Play.

---

После запуска зловред обращается к серверу киберпреступников и скачивает свою основную часть, содержащую ссылки на загрузку ещё нескольких файлов. В частности, получает пакет эксплойтов, при помощи которого пытается обзавестись root-привилегиями. Это предоставляет вредоносной программе ряд расширенных функций.



Компоненты Tordow в модифицированном приложении

Так, зловред устанавливает один из скачанных модулей в системную папку, что делает его трудноудаляемым. Кроме того, при помощи прав суперпользователя злоумышленники похищают базы данных стандартного браузера Android и обозревателя Google Chrome: в них содержатся логины и пароли, сохранённые пользователем, история посещений, файлы cookie и даже иногда сохранённые данные банковских карт. Наконец, киберпреступники получают возможность похитить практически любой файл в системе — от фотографий и документов до файлов с данными аккаунтов мобильных приложений.
Tordow обладает и другими функциями: отправка, кража и удаление SMS, перенаправление и блокировка звонков, проверка баланса, установка приложений, блокировка устройства и пр.

English:

TORDOW ANDROID BANKING TROJAN GRANTS ROOT PRIVILEGES

Trojan-Banker.AndroidOS.Tordow.a was discovered in February 2016 by the researchers at Kaspersky Lab. Anton Kivva is the name of the malware analyst member of the Kaspersky team who has been following the progress of Tordow since then. Eventually, he has found that the capabilities of this malicious program go beyond the typical functionalities of other banking malware.

He has ascertained that Tordow Trojan has the functionality to gain exclusive rights and use root privileges to make its infection most efficient. Thus cyber criminals can carry out new types of Android attacks.

Counterfeit Versions of Popular Android Apps Distribute Tordow

Counterfeit versions of popular applications like Pokemon Go, VKontakte, DrugVokrug, Odnoklassniki or Subway Surf or Telegram distribute the Trojan. Malware writers quite skillfully dissembled the code of the popular apps and added their malicious code to them. As a result, the apps are quite the same as the legitimate ones performing. They continue to carry out all legitimate functions but besides malicious stealth functionalities successfully steal sensitive information.

The good news is that the apps are distributed outside the official Google Play store. So as long as the users use caution when downloading and installing apps via third-party sources or better avoid doing this there is no risk of infection with Tordow Android banking Trojan.

Tordow Android Banking Trojan in Action

Once the clone app is running on the device, the malicious file embedded in the code also launches. Afterward, it has the functionality to establish a connection with the server of the attackers and then download the main part of Tordow. The download pack includes an exploit that allows the Trojan to gain root privileges and other files as well. Thereby the attackers get the chance to control the device by sending commands from the C&C remotely.

Except applying the traditional methods for stealing money from users like downloading and running files, rebooting the phone and taking the contacts cyber criminals exploit a pack of files to gain root privileges. Superuser rights allow the attackers to steal the database of the default Android browser and the Google Chrome browser. The information stored in the database will provide them with details about all logins and passwords entered in the browser as well as browsing history, cookies and all saved bank credit details. All photos and documents on the device are also easily accessed. Eventually, Tordow infection can lead to the flow of huge amounts of critical user data.

Source: /Источники:
http://www.3dnews.ru/939695
https://securelist.com/blog/mobile/76101/the-banker-that-can-steal-anything/
http://bestsecuritysearch.com/tordow-android-banking-trojan-root-privileges/