Wir haben Android Malware gesehen, die Windows-Systeme vor zu infizieren versucht. Zum Beispiel lädt eine bösartige PE-Datei zusammen mit einer autorun.inf-Datei und legt sie in das Root-Verzeichnis der SD-Karte. Wenn die gefährdeten mobilen Gerät an einen Computer im USB-Modus angeschlossen ist, und wenn die AutoRun-Funktion auf dem Computer aktiviert ist, führen Sie Windows wird automatisch die böswillige PE-Datei.
Interessanterweise kamen wir vor kurzem über etwas, das umgekehrt funktioniert: eine Windows-Bedrohung, die Android-Geräte zu infizieren versucht.
Die Infektion beginnt mit einem Trojaner genannt. Es fällt eine manipulierte DLL (auch als Trojan.Droidpak erkannt) und meldet es als Systemdienst. Diese DLL lädt dann eine Konfigurationsdatei aus der folgenden Remote-Server:
Es analysiert dann die Konfigurationsdatei, um eine bösartige APK an den folgenden Speicherort auf dem angegriffenen Computer zu laden:
% Windir% \ CrainingApkConfig \ AV-cdk.apk.
Die DLL kann auch erforderlich Tools wie Android Debug Bridge (ADB) herunterladen.
Als nächstes installiert es ADB und verwendet den Befehl in Abbildung 1 dargestellt, die böswillige APK auf alle Android-Geräte auf dem angegriffenen Computer angeschlossen zu installieren:
Abbildung 1. Befehl die böswillige APK installieren
Die Installation wird immer wieder versucht, um ein mobiles Gerät, um sicherzustellen, infiziert ist, wenn verbunden. Erfolgreiche Installation erfordert auch das USB-Debugging-Modus auf dem Android-Gerät aktiviert ist.
Der bösartige APK ist eine Variante von und gibt sich als Google App Store-Anwendung.
Abbildung 2. Bösartige APK sich als Google App Store
Allerdings sieht der bösartige APK tatsächlich für bestimmte koreanische Online-Banking-Anwendungen auf dem angegriffenen Gerät und, falls gefunden, fordert Benutzer zu löschen und bösartige Versionen installieren. Android.Fakebank.B dazwischen und auch SMS-Nachrichten auf dem angegriffenen Gerät und sendet sie an die folgende Position:
Abbildung 3. Bösartige APK-Code-Snippet
Um zu vermeiden, zu dieser neuen Infektionsvektor, Symantec schlägt Benutzer folgen diese Best Practices zum Opfer fallen: