Necro trójai
2019-ben a kiberbiztonsági kutatók egy aggasztó problémát tártak fel: a Google Play Áruház legális Android-alkalmazását feltörte egy harmadik féltől származó könyvtár, amelyet a fejlesztők reklámbevételek generálására használtak. Ez a módosítás azt eredményezte, hogy 100 millió eszköz csatlakozott a támadók által irányított szerverekhez, amelyek aztán rejtett hasznos terheket telepítettek.
Egy hasonló helyzet most újra előkerült. Az Infosec szakértői két új alkalmazást azonosítottak, amelyeket 11 milliószor töltöttek le a Google Playről, és amelyeket ugyanaz a kártevőcsalád fertőzött meg. Úgy tűnik, hogy ismét egy nem biztonságos szoftverfejlesztő készlet, amelyet a hirdetési funkciók integrálására használnak, a hibás.
Tartalomjegyzék
Mi az az SDK?
A szoftverfejlesztő készletek vagy SDK-k előre elkészített keretrendszereket kínálnak a fejlesztőknek, amelyek egyszerűsítik és felgyorsítják az alkalmazások létrehozásának folyamatát a rutinfeladatok kezelésével. Ebben az esetben egy ellenőrizetlen SDK-modult integráltak az alkalmazásokba, amely látszólag a hirdetések megjelenítését hivatott támogatni. A felszín alatt azonban fejlett módszereket tett lehetővé a feltört szerverekkel való titkos kommunikációhoz. Ez lehetővé tette az alkalmazások számára a felhasználói adatok feltöltését és a káros kód letöltését, amely bármikor végrehajtható vagy frissíthető.
Hogyan fertőzik meg a Necro trójaiak az eszközöket?
A két kampány mögött álló rosszindulatú programcsalád neve Necro, és ebben az esetben egyes változatok fejlett technikákat alkalmaznak, például a szteganográfiát – ez egy ritka elfedési módszer a mobilfenyegetéseknél. Egyes változatok kifinomult módszereket is alkalmaznak a megtévesztő kód eljuttatására, amely magasabb rendszerjogosultságokkal képes működni. Ha egy eszköz megfertőződött, az kommunikál a támadó által vezérelt Command-and-Control szerverrel. Titkosított JSON-adatokat küld, amelyek részleteket jelentenek a feltört eszközről és a csaló modult tároló alkalmazásról.
A szerver ezután egy JSON-üzenettel válaszol, amely egy PNG-képre mutató hivatkozást és a kép hash-jét tartalmazó metaadatokat tartalmazza. Ha a fertőzött eszköz modulja ellenőrzi a hash-t, folytatja a kép letöltését.
A kutatók elmagyarázták, hogy az SDK-modul egy egyszerű szteganográfiai algoritmust használ. Miután átment az MD5 ellenőrzésen, szabványos Android-eszközökkel kibontja a PNG-fájl tartalmát, különösen az ARGB-csatornák pixelértékeit. A getPixel metódus olyan értéket kér le, ahol a legkisebb jelentőségű bájt tartalmazza a kép kék csatornáját, és a kártevő onnan kezdi meg a feldolgozását.
A Necro trójai súlyos következményekhez vezethet
A rosszindulatú programok által telepített nyomon követhető terhelések csalárd beépülő modulokat töltenek le, amelyek testreszabhatók az egyes fertőzött eszközökhöz különböző műveletek végrehajtásához. Az egyik ilyen beépülő modul lehetővé teszi a kód futtatását emelt szintű rendszerjogosultságokkal. Általában az Android korlátozza a kiemelt folyamatokat a WebView használatában – ez egy olyan összetevő, amely a weboldalak alkalmazásokon belüli megjelenítésére szolgál. Ennek a korlátozásnak a leküzdésére a Necro egy reflexiós támadásként ismert technikát alkalmaz a WebView gyár külön előfordulásának létrehozására.
Ezenkívül ez a beépülő modul más fájlokat is letölthet és futtathat, amelyek módosítják a WebView-n keresztül megjelenített hivatkozásokat. Emelt rendszerjogosultság esetén ezek a végrehajtható fájlok módosíthatják az URL-címeket, és beilleszthetik a fizetős előfizetések megerősítő kódjait, valamint kódot tölthetnek le és futtathatnak a támadó által vezérelt hivatkozásokról. A kutatók öt különböző hasznos terhet azonosítottak a Necro elemzése során. Ezenkívül a Necro moduláris felépítése számos módot biztosít a kártevő működésére.
A Necro trójai két alkalmazásban található
A kutatók a Necro-t két alkalmazásban azonosították a Google Playen. Az egyik, a Wuta Camera 10 millió letöltést ért el. A Wuta Camera 6.3.2.148–6.3.6.148 verziói tartalmazták a fertőzésekért felelős rosszindulatú SDK-t, de az alkalmazást azóta frissítették a káros összetevő eltávolítása érdekében. Egy másik alkalmazás, a Max Browser, körülbelül 1 millió letöltéssel, szintén veszélybe került; azonban már nem érhető el a Google Playen.
Ezenkívül a kutatók felfedezték, hogy a Necro megfertőzi az alternatív piacokon kínált Android-alkalmazásokat. Ezeket az alkalmazásokat általában legitim alkalmazások módosított változataiként jelenítik meg, beleértve a Spotify-t, a Minecraftot, a WhatsApp-ot, a Stumble Guys-t, a Car Parking Multiplayer-t és a Melon Sandbox-ot.
