Necro Trojos arklys
2019 m. kibernetinio saugumo tyrinėtojai atskleidė nerimą keliančią problemą: teisėtai „Android“ programai „Google Play“ parduotuvėje buvo pakenkta trečiosios šalies bibliotekai, kurią kūrėjai naudojo siekdami gauti pajamų iš reklamos. Dėl šios modifikacijos 100 milijonų įrenginių buvo prijungti prie užpuolikų valdomų serverių, kurie vėliau įdiegė paslėptus naudingus krovinius.
Panaši situacija dabar vėl iškilo. „Infosec“ ekspertai nustatė dvi naujas programas, 11 milijonų kartų atsisiųstas iš „Google Play“, kurios yra užkrėstos ta pačia kenkėjiškų programų šeima. Atrodo, kad vėl kaltas nesaugus programinės įrangos kūrimo rinkinys, naudojamas reklamos funkcijoms integruoti.
Turinys
Kas yra SDK?
Programinės įrangos kūrimo rinkiniai arba SDK siūlo kūrėjams iš anksto sukurtas sistemas, kurios supaprastina ir pagreitina programų kūrimo procesą atlikdamos įprastas užduotis. Šiuo atveju į programas buvo integruotas nepatvirtintas SDK modulis, iš pažiūros sukurtas palaikyti skelbimų rodymą. Tačiau po paviršiumi jis įgalino pažangius slapto ryšio su pažeistais serveriais metodus. Tai leido programoms įkelti vartotojo duomenis ir atsisiųsti žalingą kodą, kurį buvo galima bet kada paleisti arba atnaujinti.
Kaip Necro Trojos arklys užkrečia įrenginius?
Abiejų kampanijų kenkėjiškų programų šeima vadinama Necro, o šiuo atveju kai kuriuose variantuose naudojami pažangūs metodai, pvz., steganografija – retas mobiliųjų grėsmių užmaskavimo metodas. Tam tikri variantai taip pat naudoja sudėtingus metodus, kad pateiktų apgaulingą kodą, galintį veikti su padidintomis sistemos privilegijomis. Kai įrenginys yra užkrėstas, jis susisiekia su užpuoliko valdomu komandų ir valdymo serveriu. Jis siunčia užšifruotus JSON duomenis, kuriuose pateikiama išsami informacija apie pažeistą įrenginį ir programą, kurioje yra apgaulingas modulis.
Tada serveris atsako pateikdamas JSON pranešimą, kuriame yra nuoroda į PNG vaizdą ir metaduomenys, kuriuose yra vaizdo maišos. Jei užkrėsto įrenginio modulis patikrina maišą, jis tęsia vaizdo atsisiuntimą.
Tyrėjai paaiškino, kad SDK modulis naudoja paprastą steganografinį algoritmą. Išlaikęs MD5 patikrinimą, jis ištraukia PNG failo turinį, ypač pikselių reikšmes iš ARGB kanalų, naudodamas standartinius „Android“ įrankius. „getPixel“ metodas nuskaito reikšmę, kai mažiausiai reikšmingame baite yra mėlynas vaizdo kanalas, o kenkėjiška programa pradeda apdoroti nuo jo.
Necro Trojos arklys gali sukelti rimtų pasekmių
Kenkėjiškos programos įdiegtos papildomos naudingos apkrovos atsisiunčia apgaulingus papildinius, kuriuos galima pritaikyti kiekvienam užkrėstam įrenginiui, kad būtų atlikti įvairūs veiksmai. Vienas iš tokių papildinių leidžia vykdyti kodą su padidintomis sistemos privilegijomis. Paprastai „Android“ apriboja privilegijuotiems procesams naudoti „WebView“ – komponentą, skirtą tinklalapiams rodyti programose. Siekdama įveikti šį apribojimą, „Necro“ naudoja techniką, vadinamą atspindžio ataka, kad sukurtų atskirą „WebView“ gamyklos atvejį.
Be to, šis įskiepis gali atsisiųsti ir vykdyti kitus failus, kurie keičia nuorodas, rodomas naudojant WebView. Su padidintomis sistemos teisėmis šie vykdomieji failai gali pakeisti URL, kad būtų įterpti mokamų prenumeratų patvirtinimo kodai ir atsisiųsti bei paleisti kodą iš užpuoliko valdomų nuorodų. Atlikdami Necro analizę, mokslininkai nustatė penkis skirtingus naudingus krovinius. Be to, modulinė Necro struktūra suteikia daugybę kenkėjiškų programų veikimo būdų.
Necro Trojos arklys buvo rastas dviejose programose
Tyrėjai nustatė „Necro“ dviejose „Google Play“ programose. Vienas iš jų, Wuta Camera, surinko 10 milijonų atsisiuntimų. „Wuta Camera“ 6.3.2.148–6.3.6.148 versijose buvo kenkėjiškas SDK, atsakingas už infekcijas, tačiau nuo to laiko programa buvo atnaujinta, kad būtų pašalintas žalingas komponentas. Taip pat buvo pažeista kita programa „Max Browser“, kurią galima atsisiųsti maždaug 1 mln. tačiau jis nebepasiekiamas „Google Play“.
Be to, mokslininkai atrado, kad „Necro“ užkrečia įvairias „Android“ programas, siūlomas alternatyviose rinkose. Šios programos paprastai pateikiamos kaip modifikuotos teisėtų programų versijos, įskaitant „Spotify“, „Minecraft“, „WhatsApp“, „Stumble Guys“, „Car Parking Multiplayer“ ir „Melon Sandbox“.
