Firestarter Trojan

Firestarter Trojan er en ny Android loader-malware, der misbruger den legitime Firebase Cloud Messaging (FCM) -tjeneste til at kommunikere med sin Command-and-Control (C2, C&C) infrastruktur. Firebase er et datterselskab af teknologigiganten Google, og deres FCM-tjeneste er et cloud-værktøj på tværs af platforme til meddelelser og meddelelser til Android, iOS og andre webapplikationer.

Firestarter Trojan blev opdaget som en del af operationerne i den avancerede vedvarende trusselgruppe kaldet DoNot. Malwaretruslen viser DoNots bestræbelser på at styrke vedholdenheden af deres fodfæste, der er etableret på de kompromitterede enheder. Det demonstrerer også hackernes evne til hurtigt at anvende nye teknikker og implementere dem i deres malware-værktøjer. DoNots primære fokus er fortsat på Sydasien-regionen og mere specifikt Indien og Pakistan konsekvent.

Selvom det ikke er bekræftet afgørende, er den mest sandsynlige distributionsvektor for Firestarter-læsseren gennem socialt konstruerede direkte beskeder, der forsøger at narre de intetanende brugere til at installere en truende applikation, der foregiver at være en chatplatform. Navnene på applikationens filer - ashmir_sample.apk eller Kashmir_Voice_v4.8.apk, fremviser DoNots fortsatte interesse i Kashmir-krisen.

Firestarter Trojan Abuses Legitimate Service

Når den er udført, starter malware-applikationen en omdirigeringsrutine, der inkluderer flere falske fejlmeddelelser, der vises for brugeren i et forsøg på at skjule sin truende aktivitet. Meddelelserne angiver fejlagtigt, at applikationen ikke understøttes, og at den vil blive afinstalleret. For at lade ud som om applikationen ikke længere er installeret, fjernes dens ikon fra brugergrænsefladen. En gennemgang af enhedens indstillinger viser imidlertid, at applikationen stadig findes på enheden og arbejder i baggrunden.

Firestarter Trojans hovedfunktionalitet er at etablere en forbindelse til C2-serverne og at levere og implementere malware-nyttelasten. I sin udgående kommunikation sender læsseren et Google FCM-token, der indeholder forskellige systemoplysninger, herunder IP-adresse, geolocation, IMEI og e-mail-adresse. Denne indledende information hjælper hackere med at afgøre, om målet er værd at blive inficeret med den største malware-trussel. Hvis de beslutter at gå videre, returnerer cyberkriminelle en FCM-besked til læsseren, der indeholder linket, hvorfra den skal hente nyttelasten.

Det faktum, at Firestarter Trojan-trafikken udnytter en legitim tjeneste, hjælper den med bedre at blande sig med resten af kommunikationen genereret af Android OS ved hjælp af Googles infrastruktur. En anden foranstaltning mod let detektion er download efter kompromis af den truende nyttelast, hvilket minimerer malware-trusselens oprindelige fodaftryk, der skal infiltrere den målrettede enhed.