Necro Trojan
През 2019 г. изследователи на киберсигурността разкриха тревожен проблем: легитимно приложение за Android в Google Play Store беше компрометирано от библиотека на трета страна, използвана от разработчиците за генериране на рекламни приходи. Тази модификация доведе до свързване на 100 милиона устройства към сървъри, контролирани от нападатели, които след това внедриха скрити полезни товари.
Сега отново се появи подобна ситуация. Експертите на Infosec са идентифицирали две нови приложения, изтеглени 11 милиона пъти от Google Play, които са заразени от едно и също семейство зловреден софтуер. Изглежда, че отново е виновен опасен комплект за разработка на софтуер, използван за интегриране на рекламни функции.
Съдържание
Какво е SDK?
Комплектите за разработка на софтуер или SDK предлагат на разработчиците предварително изградени рамки, които опростяват и ускоряват процеса на създаване на приложения, като се справят с рутинни задачи. В този случай в приложенията е интегриран непроверен SDK модул, привидно предназначен да поддържа показване на реклами. Въпреки това, под повърхността, той активира усъвършенствани методи за скрита комуникация с компрометирани сървъри. Това позволи на приложенията да качват потребителски данни и да изтеглят вреден код, който може да бъде изпълнен или актуализиран по всяко време.
Как троянските коне Necro заразяват устройства?
Семейството зловреден софтуер зад двете кампании се нарича Necro и в този случай някои варианти използват усъвършенствани техники като стеганография – рядък метод за обфускация при мобилни заплахи. Някои варианти също използват сложни методи за доставяне на измамен код, способен да работи с повишени системни привилегии. След като дадено устройство е заразено, то комуникира с управляван от нападателя Command-and-Control сървър. Той изпраща криптирани JSON данни, които съобщават подробности за компрометираното устройство и приложението, хостващо измамния модул.
След това сървърът отговаря с JSON съобщение, което включва връзка към PNG изображение и метаданни, съдържащи хеша на изображението. Ако модулът на заразеното устройство провери хеша, той продължава да изтегля изображението.
Изследователите обясниха, че SDK модулът използва прост стеганографски алгоритъм. При преминаване на проверката на MD5, той извлича съдържанието на PNG файла, по-специално стойностите на пикселите от ARGB каналите, като използва стандартни инструменти на Android. Методът getPixel извлича стойност, където най-малко значимият байт съдържа синия канал на изображението и зловредният софтуер започва обработката си оттам.
Троянският кон Necro може да доведе до тежки последствия
Последващи полезни натоварвания, инсталирани от зловреден софтуер, изтеглят измамни плъгини, които могат да бъдат персонализирани за всяко заразено устройство за извършване на различни действия. Един такъв плъгин позволява кодът да се изпълнява с повишени системни привилегии. Обикновено Android ограничава привилегированите процеси да използват WebView - компонент за показване на уеб страници в приложения. За да преодолее това ограничение, Necro използва техника, известна като отражателна атака, за да създаде отделна поява на фабриката WebView.
Освен това този плъгин може да изтегля и изпълнява други файлове, които променят връзките, показани чрез WebView. С повишени системни права, тези изпълними файлове могат да променят URL адреси, за да вмъкнат кодове за потвърждение за платени абонаменти и да изтеглят и изпълняват код от връзки, контролирани от атакуващ. Изследователите идентифицираха пет различни полезни товара по време на своя анализ на Necro. В допълнение, модулната структура на Necro предоставя множество начини за работа на зловреден софтуер.
Троянският кон Necro е открит в две приложения
Изследователите идентифицираха Necro в две приложения на Google Play. Един от тях, Wuta Camera, събра 10 милиона изтегляния. Версии 6.3.2.148 до 6.3.6.148 на Wuta Camera съдържаха злонамерения SDK, отговорен за инфекциите, но оттогава приложението беше актуализирано, за да елиминира вредния компонент. Друго приложение, Max Browser, с приблизително 1 милион изтегляния, също беше компрометирано; обаче вече не е наличен в Google Play.
В допълнение, изследователите откриха, че Necro заразява редица приложения за Android, предлагани на алтернативни пазари. Тези приложения обикновено се представят като модифицирани версии на законни приложения, включително Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer и Melon Sandbox.
