Necro Trojaans paard
In 2019 ontdekten cybersecurity-onderzoekers een verontrustend probleem: een legitieme Android-applicatie in de Google Play Store was gecompromitteerd door een externe bibliotheek die door ontwikkelaars werd gebruikt om advertentie-inkomsten te genereren. Deze aanpassing resulteerde erin dat 100 miljoen apparaten werden verbonden met servers die werden aangestuurd door aanvallers, die vervolgens verborgen payloads implementeerden.
Een vergelijkbare situatie is nu weer aan de oppervlakte gekomen. Infosec-experts hebben twee nieuwe applicaties geïdentificeerd, 11 miljoen keer gedownload van Google Play, die geïnfecteerd zijn door dezelfde malwarefamilie. Het lijkt erop dat een onveilige software development kit die gebruikt wordt om advertentiefuncties te integreren, opnieuw de schuldige is.
Inhoudsopgave
Wat is een SDK?
Software development kits, of SDK's, bieden ontwikkelaars vooraf gebouwde frameworks die het applicatiecreatieproces vereenvoudigen en versnellen door routinematige taken uit te voeren. In dit geval werd een niet-geverifieerde SDK-module, die ogenschijnlijk was ontworpen om advertentieweergave te ondersteunen, geïntegreerd in de applicaties. Onder de oppervlakte maakte het echter geavanceerde methoden mogelijk om heimelijk te communiceren met gecompromitteerde servers. Hierdoor konden de applicaties gebruikersgegevens uploaden en schadelijke code downloaden, die op elk moment kon worden uitgevoerd of bijgewerkt.
Hoe infecteren Necro Trojans apparaten?
De malwarefamilie achter beide campagnes heet Necro, en in dit geval gebruiken sommige varianten geavanceerde technieken zoals steganografie, een zeldzame verduisteringsmethode bij mobiele bedreigingen. Bepaalde varianten gebruiken ook geavanceerde methoden om frauduleuze code te leveren die kan werken met verhoogde systeemrechten. Zodra een apparaat is geïnfecteerd, communiceert het met een door de aanvaller gecontroleerde Command-and-Control-server. Het verstuurt gecodeerde JSON-gegevens die details rapporteren over het gecompromitteerde apparaat en de applicatie die de frauduleuze module host.
De server reageert vervolgens met een JSON-bericht dat een link bevat naar een PNG-afbeelding en metadata met de hash van de afbeelding. Als de module op het geïnfecteerde apparaat de hash verifieert, gaat deze verder met het downloaden van de afbeelding.
Onderzoekers legden uit dat de SDK-module een eenvoudig steganografisch algoritme gebruikt. Na het passeren van de MD5-controle, extraheert het de inhoud van het PNG-bestand, specifiek de pixelwaarden van de ARGB-kanalen, met behulp van standaard Android-tools. De getPixel-methode haalt een waarde op waarbij de minst significante byte het blauwe kanaal van de afbeelding bevat, en de malware begint vanaf daar met de verwerking.
De Necro Trojan kan ernstige gevolgen hebben
Follow-on payloads die door de malware worden geïnstalleerd, downloaden frauduleuze plug-ins die voor elk geïnfecteerd apparaat kunnen worden aangepast om verschillende acties uit te voeren. Eén dergelijke plug-in staat toe dat code wordt uitgevoerd met verhoogde systeemrechten. Normaal gesproken beperkt Android bevoorrechte processen in het gebruik van WebView, een component voor het weergeven van webpagina's binnen applicaties. Om deze beperking te omzeilen, gebruikt Necro een techniek die bekendstaat als een reflectie-aanval om een afzonderlijk exemplaar van de WebView-fabriek te creëren.
Bovendien kan deze plugin andere bestanden downloaden en uitvoeren die links wijzigen die worden weergegeven via WebView. Met verhoogde systeemrechten kunnen deze uitvoerbare bestanden URL's wijzigen om bevestigingscodes voor betaalde abonnementen in te voegen en code downloaden en uitvoeren van door aanvallers gecontroleerde links. Onderzoekers identificeerden vijf verschillende payloads tijdens hun analyse van Necro. Bovendien biedt de modulaire structuur van Necro talloze manieren voor de malware om te opereren.
De Necro Trojan werd in twee toepassingen gevonden
Onderzoekers identificeerden Necro in twee applicaties op Google Play. Een daarvan, Wuta Camera, heeft 10 miljoen downloads verzameld. Versies 6.3.2.148 tot en met 6.3.6.148 van Wuta Camera bevatten de kwaadaardige SDK die verantwoordelijk is voor de infecties, maar de applicatie is inmiddels bijgewerkt om het schadelijke onderdeel te verwijderen. Een andere applicatie, Max Browser, met ongeveer 1 miljoen downloads, werd ook gecompromitteerd; deze is echter niet langer beschikbaar op Google Play.
Daarnaast ontdekten de onderzoekers dat Necro een reeks Android-applicaties infecteerde die op alternatieve marktplaatsen worden aangeboden. Deze applicaties worden doorgaans gepresenteerd als aangepaste versies van legitieme applicaties, waaronder Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer en Melon Sandbox.
