Necro troijalainen
Vuonna 2019 kyberturvallisuustutkijat paljastivat huolestuttavan ongelman: Google Play Kaupan laillinen Android-sovellus oli vaarantunut kolmannen osapuolen kirjaston toimesta, jota kehittäjät käyttivät mainostulojen tuottamiseen. Tämä muutos johti siihen, että 100 miljoonaa laitetta yhdistettiin hyökkääjien hallitsemiin palvelimiin, jotka sitten ottavat käyttöön piilotettuja hyötykuormia.
Samanlainen tilanne on nyt ilmaantunut uudelleen. Infosecin asiantuntijat ovat tunnistaneet kaksi uutta sovellusta, jotka on ladattu 11 miljoonaa kertaa Google Playsta ja jotka ovat saaneet saman haittaohjelmaperheen tartunnan. Näyttää siltä, että vaarallinen ohjelmistokehityssarja, jota käytetään mainontaominaisuuksien integrointiin, on jälleen kerran syyllinen.
Sisällysluettelo
Mikä on SDK?
Ohjelmistokehityspaketit tai SDK:t tarjoavat kehittäjille valmiita puitteita, jotka yksinkertaistavat ja nopeuttavat sovellusten luontiprosessia käsittelemällä rutiinitehtävät. Tässä tapauksessa sovelluksiin integroitiin vahvistamaton SDK-moduuli, joka oli ilmeisesti suunniteltu tukemaan mainosten näyttämistä. Pinnan alla se mahdollisti kuitenkin kehittyneitä menetelmiä salaviestintään vaarantuneiden palvelimien kanssa. Näin sovellukset pystyivät lataamaan käyttäjätietoja ja haitallista koodia, joka voidaan suorittaa tai päivittää milloin tahansa.
Kuinka Necro-troijalaiset saastuttavat laitteita?
Molempien kampanjoiden takana oleva haittaohjelmaperhe on nimeltään Necro, ja tässä tapauksessa jotkin muunnelmat käyttävät kehittyneitä tekniikoita, kuten steganografiaa, joka on harvinainen hämärämenetelmä mobiiliuhkissa. Tietyt versiot käyttävät myös kehittyneitä menetelmiä vilpillisen koodin toimittamiseen, joka pystyy toimimaan korotetuilla järjestelmäoikeuksilla. Kun laite on saanut tartunnan, se kommunikoi hyökkääjän ohjaaman komento- ja hallintapalvelimen kanssa. Se lähettää salattuja JSON-tietoja, jotka raportoivat tietoja vaarantuneesta laitteesta ja sovelluksesta, joka isännöi vilpillistä moduulia.
Palvelin vastaa sitten JSON-viestillä, joka sisältää linkin PNG-kuvaan ja kuvan tiivisteen sisältävät metatiedot. Jos tartunnan saaneen laitteen moduuli vahvistaa hajautusarvon, se jatkaa kuvan lataamista.
Tutkijat selittivät, että SDK-moduuli käyttää yksinkertaista steganografista algoritmia. Kun MD5-tarkistus on läpäissyt, se purkaa PNG-tiedoston sisällön, erityisesti pikseliarvot ARGB-kanavista, käyttämällä tavallisia Android-työkaluja. GetPixel-menetelmä hakee arvon, jossa vähiten merkitsevä tavu sisältää kuvan sinisen kanavan, ja haittaohjelma aloittaa käsittelynsä sieltä.
Necro-troijalainen voi johtaa vakaviin seurauksiin
Haittaohjelman asentamat jatkohyötykuormat lataavat vilpillisiä laajennuksia, jotka voidaan mukauttaa kullekin tartunnan saaneelle laitteelle suorittamaan erilaisia toimintoja. Yksi tällainen laajennus sallii koodin suorittamisen korotetuilla järjestelmäoikeuksilla. Normaalisti Android rajoittaa etuoikeutettuja prosesseja käyttämästä WebView'ta, joka on komponentti Web-sivujen näyttämiseen sovelluksissa. Tämän rajoituksen voittamiseksi Necro käyttää tekniikkaa, joka tunnetaan nimellä heijastushyökkäys luodakseen erillisen WebView-tehtaan esiintymän.
Lisäksi tämä laajennus voi ladata ja suorittaa muita tiedostoja, jotka muokkaavat WebView'n kautta näkyviä linkkejä. Korkeilla järjestelmäoikeuksilla nämä suoritettavat tiedostot voivat muuttaa URL-osoitteita ja lisätä maksullisten tilausten vahvistuskoodeja sekä ladata ja suorittaa koodia hyökkääjän ohjaamista linkeistä. Tutkijat tunnistivat viisi erillistä hyötykuormaa Necro-analyysin aikana. Lisäksi Necron modulaarinen rakenne tarjoaa lukuisia tapoja haittaohjelmille toimia.
Necro Troijalainen löytyi kahdesta sovelluksesta
Tutkijat tunnistivat Necron kahdessa Google Playn sovelluksessa. Yksi niistä, Wuta Camera, on kerännyt 10 miljoonaa latausta. Wuta Cameran versiot 6.3.2.148–6.3.6.148 sisälsivät haitallisen SDK:n, joka on vastuussa infektioista, mutta sovellus on sittemmin päivitetty haitallisen osan poistamiseksi. Toinen sovellus, Max Browser, jolla on noin miljoona latausta, myös vaarantui; se ei kuitenkaan ole enää saatavilla Google Playssa.
Lisäksi tutkijat havaitsivat Necron tartuttaneen erilaisia Android-sovelluksia, joita tarjotaan vaihtoehtoisilla markkinapaikoilla. Nämä sovellukset esitetään tyypillisesti muokattuina versioina laillisista sovelluksista, mukaan lukien Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer ja Melon Sandbox.
