Necro Trojan
I 2019 afslørede cybersikkerhedsforskere et bekymrende problem: en legitim Android-applikation i Google Play Butik var blevet kompromitteret af et tredjepartsbibliotek, der blev brugt af udviklere til at generere annonceindtægter. Denne ændring resulterede i, at 100 millioner enheder blev forbundet til servere styret af angribere, som derefter implementerede skjulte nyttelaster.
En lignende situation er nu dukket op igen. Infosec-eksperter har identificeret to nye applikationer, downloadet 11 millioner gange fra Google Play, som er inficeret af den samme malware-familie. Det ser ud til, at et usikkert softwareudviklingssæt, der bruges til at integrere reklamefunktioner, igen har skylden.
Indholdsfortegnelse
Hvad er et SDK?
Softwareudviklingssæt, eller SDK'er, tilbyder udviklere forudbyggede rammer, der forenkler og accelererer applikationsoprettelsesprocessen ved at håndtere rutineopgaver. I dette tilfælde blev et ubekræftet SDK-modul, tilsyneladende designet til at understøtte annoncevisning, integreret i applikationerne. Men under overfladen muliggjorde det avancerede metoder til skjult kommunikation med kompromitterede servere. Dette gjorde det muligt for applikationerne at uploade brugerdata og downloade skadelig kode, som kunne udføres eller opdateres til enhver tid.
Hvordan inficerer Necro-trojanske heste enheder?
Malwarefamilien bag begge kampagner kaldes Necro, og i dette tilfælde anvender nogle varianter avancerede teknikker som steganografi - en sjælden sløringsmetode i mobile trusler. Visse varianter bruger også sofistikerede metoder til at levere svigagtig kode, der er i stand til at fungere med forhøjede systemrettigheder. Når en enhed er inficeret, kommunikerer den med en angriberstyret Command-and-Control-server. Den sender krypterede JSON-data, der rapporterer detaljer om den kompromitterede enhed og applikationen, der hoster det svigagtige modul.
Serveren svarer derefter med en JSON-meddelelse, der indeholder et link til et PNG-billede og metadata, der indeholder billedets hash. Hvis modulet på den inficerede enhed verificerer hashen, fortsætter det med at downloade billedet.
Forskere forklarede, at SDK-modulet bruger en simpel steganografisk algoritme. Efter at have bestået MD5-kontrollen udtrækker den indholdet af PNG-filen, specifikt pixelværdierne fra ARGB-kanalerne, ved hjælp af standard Android-værktøjer. GetPixel-metoden henter en værdi, hvor den mindst signifikante byte indeholder billedets blå kanal, og malwaren begynder sin behandling derfra.
Necro-trojaneren kan føre til alvorlige konsekvenser
Opfølgende nyttelaster installeret af malware downloader svigagtige plugins, der kan tilpasses til hver inficeret enhed til at udføre forskellige handlinger. Et sådant plugin tillader kode at køre med forhøjede systemrettigheder. Normalt begrænser Android privilegerede processer fra at bruge WebView - en komponent til visning af websider i applikationer. For at overvinde denne begrænsning anvender Necro en teknik kendt som et refleksionsangreb til at skabe en separat forekomst af WebView-fabrikken.
Derudover kan dette plugin downloade og udføre andre filer, der ændrer links vist gennem WebView. Med forhøjede systemrettigheder kan disse eksekverbare filer ændre URL'er for at indsætte bekræftelseskoder for betalte abonnementer og downloade og køre kode fra angriberkontrollerede links. Forskere identificerede fem forskellige nyttelaster under deres analyse af Necro. Derudover giver den modulære opbygning af Necro adskillige måder, hvorpå malware kan fungere.
Necro Trojan blev fundet i to applikationer
Forskere identificerede Necro i to applikationer på Google Play. En af dem, Wuta Camera, har fået 10 millioner downloads. Versioner 6.3.2.148 til 6.3.6.148 af Wuta Camera indeholdt den ondsindede SDK, der var ansvarlig for infektionerne, men applikationen er siden blevet opdateret for at fjerne den skadelige komponent. En anden applikation, Max Browser, med cirka 1 million downloads, blev også kompromitteret; den er dog ikke længere tilgængelig på Google Play.
Derudover opdagede forskerne, at Necro inficerede en række Android-applikationer, der tilbydes på alternative markedspladser. Disse applikationer præsenteres typisk som modificerede versioner af legitime applikationer, herunder Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer og Melon Sandbox.
