Firestarter Trojan

De Firestarter Trojan is een nieuwe malware voor het laden van Android die de legitieme Firebase Cloud Messaging (FCM) -service misbruikt om te communiceren met zijn Command-and-Control (C2, C&C) -infrastructuur. Firebase is een dochteronderneming van de technologiegigant Google en hun FCM-service is een platformonafhankelijke cloudtool voor berichten en meldingen voor Android, iOS en andere webapplicaties.

De Firestarter-trojan werd gedetecteerd als onderdeel van de operaties van de geavanceerde aanhoudende dreigingsgroep genaamd DoNot. De malwarebedreiging toont DoNot's inspanningen om het voortbestaan van hun steunpunten op de gecompromitteerde apparaten te versterken. Het toont ook het vermogen van hackers aan om nieuwe technieken toe te passen en deze snel in hun malwaretools te implementeren. De primaire focus van DoNot is constant gebleven op de regio Zuid-Azië en, meer specifiek, India en Pakistan.

Hoewel het niet doorslaggevend is bevestigd, is de meest waarschijnlijke distributievector van de Firestarter-lader via sociaal ontworpen directe berichten die de nietsvermoedende gebruikers proberen te misleiden om een bedreigende applicatie te installeren die zich voordoet als een chatplatform. De namen van de bestanden van de applicatie - ashmir_sample.apk of Kashmir_Voice_v4.8.apk, tonen DoNots voortdurende interesse in de Kashmir-crisis.

Firestarter Trojan misbruikt legitieme service

Eenmaal uitgevoerd, start de malwaretoepassing een omleidingsroutine die verschillende valse foutmeldingen bevat die aan de gebruiker worden weergegeven in een poging zijn bedreigende activiteit te verbergen. De berichten geven ten onrechte aan dat de applicatie niet wordt ondersteund en dat deze zal worden verwijderd. Om te doen alsof de applicatie niet langer is geïnstalleerd, wordt het pictogram verwijderd uit de gebruikersinterface. Als u echter de instellingen van het apparaat doorneemt, wordt aangegeven dat de applicatie nog steeds op het apparaat aanwezig is en op de achtergrond werkt.

De belangrijkste functionaliteit van de Firestarter Trojan is om een verbinding tot stand te brengen met de C2-servers en om de malware-payload te leveren en te implementeren. In zijn uitgaande communicatie stuurt de lader een Google FCM-token dat verschillende systeeminformatie bevat, waaronder IP-adres, geolocatie, IMEI en e-mailadres. Deze eerste informatie helpt hackers te bepalen of het doelwit het waard is geïnfecteerd te worden met de belangrijkste malwarebedreiging. Als ze besluiten door te gaan, sturen de cybercriminelen een FCM-bericht naar de loader met daarin de link waar het de payload moet ophalen.

Het feit dat het Firestarter Trojan-verkeer een legitieme service exploiteert, helpt het om beter aan te sluiten bij de rest van de communicatie die wordt gegenereerd door het Android-besturingssysteem met behulp van de Google-infrastructuur. Een andere maatregel tegen gemakkelijke detectie is het downloaden van de bedreigende payload na het compromitteren, waardoor de initiële voetafdruk van de malwarebedreiging die het beoogde apparaat moet infiltreren, wordt geminimaliseerd.