Trojan Necro

Pada 2019, penyelidik keselamatan siber menemui isu yang membimbangkan: aplikasi Android yang sah di Gedung Google Play telah dikompromi oleh perpustakaan pihak ketiga yang digunakan oleh pembangun untuk menjana pendapatan pengiklanan. Pengubahsuaian ini mengakibatkan 100 juta peranti disambungkan ke pelayan yang dikawal oleh penyerang, yang kemudiannya menggunakan muatan tersembunyi.

Keadaan yang sama kini telah muncul semula. Pakar Infosec telah mengenal pasti dua aplikasi baharu, dimuat turun 11 juta kali daripada Google Play, yang dijangkiti oleh keluarga perisian hasad yang sama. Nampaknya kit pembangunan perisian yang tidak selamat digunakan untuk menyepadukan ciri pengiklanan sekali lagi dipersalahkan.

Apakah itu SDK?

Kit pembangunan perisian, atau SDK, menawarkan pemaju rangka kerja pra-bina yang memudahkan dan mempercepatkan proses penciptaan aplikasi dengan mengendalikan tugas rutin. Dalam kes ini, modul SDK yang tidak disahkan, nampaknya direka bentuk untuk menyokong paparan iklan, telah disepadukan ke dalam aplikasi. Walau bagaimanapun, di bawah permukaan, ia membolehkan kaedah lanjutan untuk berkomunikasi secara rahsia dengan pelayan yang terjejas. Ini membenarkan aplikasi memuat naik data pengguna dan memuat turun kod berbahaya, yang boleh dilaksanakan atau dikemas kini pada bila-bila masa.

Bagaimana Trojan Necro Menjangkiti Peranti?

Keluarga perisian hasad di sebalik kedua-dua kempen dipanggil Necro, dan dalam hal ini, beberapa varian menggunakan teknik lanjutan seperti steganografi—kaedah pengeliruan yang jarang berlaku dalam ancaman mudah alih. Varian tertentu juga menggunakan kaedah yang canggih untuk menyampaikan kod penipuan yang mampu beroperasi dengan keistimewaan sistem yang tinggi. Sebaik sahaja peranti dijangkiti, ia berkomunikasi dengan pelayan Perintah-dan-Kawalan yang dikawal oleh penyerang. Ia menghantar data JSON yang disulitkan yang melaporkan butiran tentang peranti yang terjejas dan aplikasi yang mengehoskan modul penipuan.

Pelayan kemudian bertindak balas dengan mesej JSON yang termasuk pautan ke imej PNG dan metadata yang mengandungi cincang imej. Jika modul pada peranti yang dijangkiti mengesahkan cincangan, ia meneruskan untuk memuat turun imej.

Penyelidik menjelaskan bahawa modul SDK menggunakan algoritma steganografi mudah. Setelah lulus semakan MD5, ia mengekstrak kandungan fail PNG, khususnya nilai piksel daripada saluran ARGB, menggunakan alat Android standard. Kaedah getPixel mendapatkan semula nilai di mana bait paling tidak ketara mengandungi saluran biru imej dan perisian hasad memulakan pemprosesannya dari sana.

Trojan Necro boleh membawa kepada akibat yang teruk

Muatan susulan yang dipasang oleh perisian hasad memuat turun pemalam penipuan yang boleh disesuaikan untuk setiap peranti yang dijangkiti untuk melakukan pelbagai tindakan. Satu pemalam sedemikian membenarkan kod untuk dilaksanakan dengan keistimewaan sistem yang tinggi. Biasanya, Android mengehadkan proses istimewa daripada menggunakan WebView—komponen untuk memaparkan halaman Web dalam aplikasi. Untuk mengatasi sekatan ini, Necro menggunakan teknik yang dikenali sebagai serangan refleksi untuk mencipta kejadian berasingan kilang WebView.

Selain itu, pemalam ini boleh memuat turun dan melaksanakan fail lain yang mengubah suai pautan yang dipaparkan melalui WebView. Dengan hak sistem yang dinaikkan, boleh laku ini boleh mengubah URL untuk memasukkan kod pengesahan untuk langganan berbayar dan memuat turun serta menjalankan kod daripada pautan dikawal penyerang. Penyelidik mengenal pasti lima muatan yang berbeza semasa analisis Necro mereka. Di samping itu, struktur modular Necro menyediakan pelbagai cara untuk perisian hasad beroperasi.

Trojan Necro Ditemui dalam Dua Aplikasi

Penyelidik mengenal pasti Necro dalam dua aplikasi di Google Play. Salah satu daripadanya, Wuta Camera, telah memperoleh 10 juta muat turun. Versi 6.3.2.148 hingga 6.3.6.148 Wuta Camera mengandungi SDK hasad yang bertanggungjawab untuk jangkitan, tetapi aplikasi itu telah dikemas kini untuk menghapuskan komponen berbahaya itu. Satu lagi aplikasi, Max Browser, dengan kira-kira 1 juta muat turun, turut terjejas; namun, ia tidak lagi tersedia di Google Play.

Di samping itu, penyelidik mendapati Necro menjangkiti pelbagai aplikasi Android yang ditawarkan di pasaran alternatif. Aplikasi ini biasanya dipersembahkan sebagai versi aplikasi yang sah yang diubah suai, termasuk Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer dan Melon Sandbox.