Necro troojalane
2019. aastal avastasid küberjulgeolekuteadlased murettekitava probleemi: Google Play poes leiduva legitiimse Androidi rakenduse ohustas kolmanda osapoole raamatukogu, mida arendajad kasutasid reklaamitulu teenimiseks. Selle muudatuse tulemusel ühendati 100 miljonit seadet ründajate juhitud serveritega, mis seejärel kasutasid peidetud kasulikke koormusi.
Sarnane olukord on nüüd taas esile kerkinud. Infoseci eksperdid on tuvastanud kaks uut rakendust, mis on Google Playst 11 miljonit korda alla laaditud ja mis on nakatunud sama pahavara perekonnaga. Näib, et süüdi on taaskord reklaamifunktsioonide integreerimiseks kasutatav ebaturvaline tarkvaraarenduskomplekt.
Sisukord
Mis on SDK?
Tarkvaraarenduskomplektid ehk SDK-d pakuvad arendajatele eelehitatud raamistikke, mis lihtsustavad ja kiirendavad rakenduste loomise protsessi rutiinsete ülesannete täitmise kaudu. Sel juhul integreeriti rakendustesse kinnitamata SDK-moodul, mis näib olevat mõeldud reklaamide kuvamise toetamiseks. Kuid pinna all võimaldas see täiustatud meetodeid ohustatud serveritega varjatud suhtlemiseks. See võimaldas rakendustel üles laadida kasutajaandmeid ja alla laadida kahjulikku koodi, mida saab igal ajal käivitada või värskendada.
Kuidas Necro troojalased seadmeid nakatavad?
Mõlema kampaania taga olevat pahavaraperekonda nimetatakse Necroks ja praegusel juhul kasutavad mõned variandid täiustatud tehnikaid, nagu steganograafia, mis on mobiiliohtude puhul haruldane hägustamise meetod. Teatud variandid kasutavad ka keerukaid meetodeid, et edastada petturlik kood, mis suudab töötada kõrgendatud süsteemiõigustega. Kui seade on nakatunud, suhtleb see ründaja juhitava käsu- ja juhtimisserveriga. See saadab krüptitud JSON-andmed, mis edastavad üksikasju ohustatud seadme ja petumoodulit hostiva rakenduse kohta.
Seejärel vastab server JSON-sõnumiga, mis sisaldab linki PNG-pildile ja metaandmeid, mis sisaldavad pildi räsi. Kui nakatunud seadme moodul kontrollib räsi, jätkab see pildi allalaadimist.
Teadlased selgitasid, et SDK moodul kasutab lihtsat steganograafilist algoritmi. Pärast MD5 kontrolli läbimist ekstraheerib see standardsete Androidi tööriistade abil PNG-faili sisu, täpsemalt ARGB-kanalite piksliväärtused. GetPixel meetod hangib väärtuse, kus kõige vähem oluline bait sisaldab pildi sinist kanalit ja pahavara alustab oma töötlemist sealt.
Necro troojalane võib kaasa tuua tõsiseid tagajärgi
Pahavara installitud lisakoormus laadib alla petturlikud pistikprogrammid, mida saab kohandada iga nakatunud seadme jaoks erinevate toimingute tegemiseks. Üks selline pistikprogramm võimaldab koodi käivitada kõrgendatud süsteemiõigustega. Tavaliselt piirab Android privilegeeritud protsesside kasutamist WebView'ga, mis on komponent veebilehtede kuvamiseks rakendustes. Selle piirangu ületamiseks kasutab Necro peegeldusrünnakuna tuntud tehnikat, et luua WebView tehase eraldi esinemine.
Lisaks saab see pistikprogramm alla laadida ja käivitada muid faile, mis muudavad WebView kaudu kuvatavaid linke. Kõrgendatud süsteemiõigustega saavad need käivitatavad failid muuta URL-e, et sisestada tasuliste tellimuste kinnituskoode ning laadida alla ja käivitada koodi ründaja juhitud linkidelt. Teadlased tuvastasid Necro analüüsi käigus viis erinevat kasulikku koormust. Lisaks pakub Necro modulaarne struktuur pahavara toimimiseks palju võimalusi.
Necro troojalane leiti kahest rakendusest
Teadlased tuvastasid Necro kahes Google Play rakenduses. Üks neist, Wuta Camera, on kogunud 10 miljonit allalaadimist. Wuta Camera versioonid 6.3.2.148–6.3.6.148 sisaldasid nakkuste eest vastutavat pahatahtlikku SDK-d, kuid rakendust on sellest ajast peale värskendatud, et eemaldada kahjulik komponent. Veel üks rakendus, Max Browser, mida on alla laaditud ligikaudu 1 miljon, sattus samuti ohtu; see pole aga Google Plays enam saadaval.
Lisaks avastasid teadlased, et Necro nakatab mitmesuguseid alternatiivsetel turgudel pakutavaid Androidi rakendusi. Neid rakendusi esitatakse tavaliselt seaduslike rakenduste muudetud versioonidena, sealhulgas Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer ja Melon Sandbox.
