Win32/Kankan или новые вредоносные модули


Win32/Kankan - потенциально вредоносные модули, обнаруженные в популярном менеджере загрузок Xunlei (Thunder), и предназначенные для сбора информации без ведома пользователя. Еще один из вредоносных функционалов данного компонента - это установка дополнительных приложений на Android-устройства.

Xunlei – файлообменный клиент, разработанный китайской компанией Thunder Networking Technologies.

Обнаруженные компоненты Xunlei осуществляют скрытую загрузку и установку на компьютер пользователя дополнительного ПО, а также пересылают информацию о системе на удаленный сервер. Обнаруженный же вредоносный модуль обладает способностью устанавливать приложения не только на сам ПК, но и на подключенное к нему устройство под управлением ОС Android. При этом все эти действия осуществляются без ведома пользователя.

Activnost Win32Kankan
Активность Win32/Kankan

Данные компоненты подписаны цифровым сертификатом компании-разработчика Xunlei Networking Technologies, что придает им статус доверенных файлов.

Для запуска и обеспечения "выживаемости" компонента в системе был использован пакет решений Microsoft Office. И когда пользователь запускает одно из приложений этого программного пакета, то в память, маскируясь под плагин этого приложения, подгружается специальная динамическая библиотека (dll, dynamic-link library) загрузчика Xunlei.

Эта библиотека содержит функционал бэкдора, с помощью которого информацию об ОС пользователя передается на удаленный сервер. Также библиотека может распознавать программное обеспечение, способное отследить ее сомнительную активность.

Другой компонент Xunlei осуществляет загрузку на компьютер пользователя сторонних исполняемых файлов с их дальнейшей активацией. После выполнения этих действий запускается последний компонент, отвечающий за исполнение различных команд.

Scrini mobil priloj ustanavlivaemih pri pomoshi Xunlei
Скриншоты мобильных приложений, устанавливаемых при помощи Xunlei

Особый интерес представляет команда installphoneapp, применяемая для загрузки мобильных приложений (apk-файлов) с последующей установкой на Android-устройство, подключенное к компьютеру по USB. Данные приложения, в том числе, имеют рекламную направленность. Эти действия также совершаются в скрытом режиме.