Necro Trojan
Godine 2019. istraživači kibernetičke sigurnosti otkrili su zabrinjavajući problem: legitimnu Android aplikaciju na Google Play Storeu ugrozila je biblioteka treće strane koju programeri koriste za generiranje prihoda od oglašavanja. Ova je izmjena rezultirala povezivanjem 100 milijuna uređaja s poslužiteljima koje kontroliraju napadači, a koji su zatim postavili skrivene sadržaje.
Sada se ponovno pojavila slična situacija. Stručnjaci tvrtke Infosec identificirali su dvije nove aplikacije, preuzete 11 milijuna puta s Google Playa, koje su zaražene istom obitelji malwarea. Čini se da je opet kriv nesiguran softverski razvojni komplet koji se koristi za integraciju značajki oglašavanja.
Sadržaj
Što je SDK?
Kompleti za razvoj softvera, ili SDK-ovi, nude programerima unaprijed izgrađene okvire koji pojednostavljuju i ubrzavaju proces stvaranja aplikacija obavljanjem rutinskih zadataka. U ovom slučaju, neprovjereni SDK modul, naizgled dizajniran za podršku prikazivanja oglasa, integriran je u aplikacije. Međutim, ispod površine, omogućio je napredne metode za tajnu komunikaciju s kompromitiranim poslužiteljima. To je aplikacijama omogućilo učitavanje korisničkih podataka i preuzimanje štetnog koda, koji se mogao izvršiti ili ažurirati u bilo kojem trenutku.
Kako Necro Trojanci zaraze uređaje?
Obitelj zlonamjernog softvera koja stoji iza obje kampanje zove se Necro, au ovom slučaju, neke varijante koriste napredne tehnike poput steganografije—rijetke metode maskiranja u mobilnim prijetnjama. Određene varijante također koriste sofisticirane metode za isporuku lažnog koda koji može raditi s povišenim privilegijama sustava. Nakon što je uređaj zaražen, on komunicira s Command-and-Control poslužiteljem kojim upravlja napadač. Šalje šifrirane JSON podatke koji izvještavaju o pojedinostima o kompromitiranom uređaju i aplikaciji koja hostira lažni modul.
Poslužitelj tada odgovara JSON porukom koja uključuje poveznicu na PNG sliku i metapodatke koji sadrže hash slike. Ako modul na zaraženom uređaju potvrdi hash, nastavlja s preuzimanjem slike.
Istraživači su objasnili da SDK modul koristi jednostavan steganografski algoritam. Nakon što prođe MD5 provjeru, izvlači sadržaj PNG datoteke, posebno vrijednosti piksela iz ARGB kanala, koristeći standardne Android alate. Metoda getPixel dohvaća vrijednost gdje najmanje značajan bajt sadrži plavi kanal slike, a zlonamjerni softver odatle počinje svoju obradu.
Trojanac Necro mogao bi dovesti do ozbiljnih posljedica
Naknadni korisni učinci instalirani od strane zlonamjernog softvera preuzimaju lažne dodatke koji se mogu prilagoditi za svaki zaraženi uređaj za izvođenje različitih radnji. Jedan takav dodatak omogućuje izvršavanje koda s povišenim privilegijama sustava. Android obično ograničava privilegirane procese u korištenju WebViewa—komponente za prikaz web stranica unutar aplikacija. Kako bi prevladao ovo ograničenje, Necro koristi tehniku poznatu kao napad refleksije kako bi stvorio zasebno pojavljivanje WebView tvornice.
Osim toga, ovaj dodatak može preuzeti i pokrenuti druge datoteke koje mijenjaju veze prikazane putem WebViewa. S povišenim sistemskim pravima, ove izvršne datoteke mogu mijenjati URL-ove za umetanje potvrdnih kodova za plaćene pretplate te preuzimanje i pokretanje koda s poveznica koje kontrolira napadač. Istraživači su tijekom analize Necroa identificirali pet različitih nosivosti. Osim toga, modularna struktura Necroa pruža brojne načine za rad zlonamjernog softvera.
Trojanac Necro pronađen je u dvije aplikacije
Istraživači su identificirali Necro u dvije aplikacije na Google Playu. Jedna od njih, Wuta Camera, prikupila je 10 milijuna preuzimanja. Inačice 6.3.2.148 do 6.3.6.148 Wuta Camera sadržavale su zlonamjerni SDK odgovoran za infekcije, ali aplikacija je u međuvremenu ažurirana kako bi se uklonila štetna komponenta. Još jedna aplikacija, Max Browser, s otprilike milijun preuzimanja, također je bila ugrožena; međutim, više nije dostupan na Google Playu.
Osim toga, istraživači su otkrili da je Necro zarazio niz Android aplikacija koje se nude na alternativnim tržištima. Te se aplikacije obično predstavljaju kao modificirane verzije legitimnih aplikacija, uključujući Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer i Melon Sandbox.
