Necro Trojas zirgs
2019. gadā kiberdrošības pētnieki atklāja satraucošu problēmu: likumīgu Android lietojumprogrammu Google Play veikalā uzlauza trešās puses bibliotēka, ko izstrādātāji izmantoja, lai gūtu ieņēmumus no reklāmām. Šīs modifikācijas rezultātā 100 miljoni ierīču tika savienoti ar uzbrucēju kontrolētiem serveriem, kas pēc tam izvietoja slēptās lietderīgās slodzes.
Līdzīga situācija tagad ir atkal parādījusies. Infosec eksperti ir identificējuši divas jaunas lietojumprogrammas, kas no Google Play lejupielādētas 11 miljonus reižu un kuras ir inficētas ar vienu un to pašu ļaundabīgo programmu saimi. Šķiet, ka atkal vainojams nedrošs programmatūras izstrādes komplekts, ko izmanto, lai integrētu reklāmas funkcijas.
Satura rādītājs
Kas ir SDK?
Programmatūras izstrādes komplekti jeb SDK piedāvā izstrādātājiem iepriekš izveidotus ietvarus, kas vienkāršo un paātrina lietojumprogrammu izveides procesu, veicot ikdienas uzdevumus. Šajā gadījumā lietojumprogrammās tika integrēts nepārbaudīts SDK modulis, kas šķietami paredzēts reklāmu rādīšanas atbalstam. Tomēr zem virsmas tas ļāva izmantot uzlabotas metodes slēptai saziņai ar apdraudētiem serveriem. Tas ļāva lietojumprogrammām augšupielādēt lietotāja datus un lejupielādēt kaitīgu kodu, ko jebkurā laikā varēja izpildīt vai atjaunināt.
Kā Necro Trojas zirgi inficē ierīces?
Ļaunprātīgo programmu saime, kas ir aiz abām kampaņām, tiek saukta par Necro, un šajā gadījumā dažos variantos tiek izmantotas uzlabotas metodes, piemēram, steganogrāfija — reta apmulsināšanas metode mobilo ierīču apdraudējumiem. Dažos variantos tiek izmantotas arī sarežģītas metodes, lai nodrošinātu krāpniecisku kodu, kas spēj darboties ar paaugstinātām sistēmas privilēģijām. Kad ierīce ir inficēta, tā sazinās ar uzbrucēja kontrolētu komandu un vadības serveri. Tas nosūta šifrētus JSON datus, kas sniedz detalizētu informāciju par apdraudēto ierīci un lietojumprogrammu, kurā tiek mitināts krāpnieciskais modulis.
Pēc tam serveris atbild ar JSON ziņojumu, kas ietver saiti uz PNG attēlu un metadatus, kas satur attēla jaucējkodu. Ja inficētās ierīces modulis pārbauda jaucējkodu, tas turpina attēla lejupielādi.
Pētnieki paskaidroja, ka SDK modulis izmanto vienkāršu steganogrāfisku algoritmu. Izejot MD5 pārbaudi, tas, izmantojot standarta Android rīkus, izņem PNG faila saturu, jo īpaši pikseļu vērtības no ARGB kanāliem. GetPixel metode izgūst vērtību, kurā vismazāk nozīmīgais baits satur attēla zilo kanālu, un ļaunprogrammatūra sāk apstrādi no turienes.
Necro Trojas zirgs var radīt nopietnas sekas
Ļaunprātīgas programmatūras instalētās papildu slodzes lejupielādē krāpnieciskus spraudņus, kurus var pielāgot katrai inficētajai ierīcei dažādu darbību veikšanai. Viens no šādiem spraudņiem ļauj izpildīt kodu ar paaugstinātām sistēmas privilēģijām. Parasti Android ierobežo priviliģētu procesu izmantošanu WebView — komponentu tīmekļa lapu parādīšanai lietojumprogrammās. Lai pārvarētu šo ierobežojumu, Necro izmanto paņēmienu, kas pazīstams kā refleksijas uzbrukums, lai izveidotu atsevišķu WebView rūpnīcas gadījumu.
Turklāt šis spraudnis var lejupielādēt un izpildīt citus failus, kas maina saites, kas tiek rādītas, izmantojot WebView. Izmantojot paaugstinātas sistēmas tiesības, šie izpildāmie faili var mainīt vietrāžus URL, lai ievietotu apstiprinājuma kodus maksas abonementiem un lejupielādētu un palaistu kodu no uzbrucēju kontrolētām saitēm. Necro analīzes laikā pētnieki identificēja piecas atšķirīgas kravnesības. Turklāt Necro modulārā struktūra nodrošina daudzus veidus, kā ļaunprātīga programmatūra var darboties.
Necro Trojas zirgs tika atrasts divās lietojumprogrammās
Pētnieki identificēja Necro divās lietojumprogrammās pakalpojumā Google Play. Viena no tām, Wuta Camera, ir ieguvusi 10 miljonus lejupielāžu. Wuta Camera versijās no 6.3.2.148 līdz 6.3.6.148 bija ietverts ļaunprātīgs SDK, kas ir atbildīgs par infekcijām, taču lietojumprogramma kopš tā laika ir atjaunināta, lai novērstu kaitīgo komponentu. Tika apdraudēta arī cita lietojumprogramma Max Browser ar aptuveni 1 miljonu lejupielāžu; tomēr tas vairs nav pieejams pakalpojumā Google Play.
Turklāt pētnieki atklāja, ka Necro inficē virkni Android lietojumprogrammu, kas tiek piedāvātas alternatīvos tirgos. Šīs lietojumprogrammas parasti tiek piedāvātas kā likumīgu lietojumprogrammu modificētas versijas, tostarp Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer un Melon Sandbox.
