Nekromanta Trojan
W 2019 r. badacze cyberbezpieczeństwa odkryli niepokojący problem: legalna aplikacja Android w sklepie Google Play została naruszona przez bibliotekę innej firmy, z której programiści korzystają w celu generowania przychodów z reklam. Ta modyfikacja spowodowała, że 100 milionów urządzeń zostało połączonych z serwerami kontrolowanymi przez atakujących, którzy następnie wdrożyli ukryte ładunki.
Podobna sytuacja pojawiła się ponownie. Eksperci Infosec zidentyfikowali dwie nowe aplikacje, pobrane 11 milionów razy z Google Play, które są zainfekowane tą samą rodziną malware. Wygląda na to, że ponownie winę ponosi niebezpieczny zestaw narzędzi programistycznych służący do integrowania funkcji reklamowych.
Spis treści
Czym jest SDK?
Zestawy do tworzenia oprogramowania, czyli SDK, oferują deweloperom gotowe struktury, które upraszczają i przyspieszają proces tworzenia aplikacji, obsługując rutynowe zadania. W tym przypadku niezweryfikowany moduł SDK, pozornie zaprojektowany do obsługi wyświetlania reklam, został zintegrowany z aplikacjami. Jednak pod powierzchnią umożliwiał zaawansowane metody ukrytej komunikacji z naruszonymi serwerami. Umożliwiło to aplikacjom przesyłanie danych użytkownika i pobieranie szkodliwego kodu, który mógł zostać uruchomiony lub zaktualizowany w dowolnym momencie.
W jaki sposób trojany Necro infekują urządzenia?
Rodzina malware'ów stojąca za obiema kampaniami nazywa się Necro, a w tym przypadku niektóre warianty wykorzystują zaawansowane techniki, takie jak steganografia — rzadka metoda zaciemniania w zagrożeniach mobilnych. Niektóre warianty wykorzystują również wyrafinowane metody dostarczania oszukańczego kodu, który może działać z podwyższonymi uprawnieniami systemowymi. Po zainfekowaniu urządzenia komunikuje się ono z kontrolowanym przez atakującego serwerem Command-and-Control. Wysyła zaszyfrowane dane JSON, które raportują szczegóły dotyczące zainfekowanego urządzenia i aplikacji hostującej oszukańczy moduł.
Następnie serwer odpowiada komunikatem JSON, który zawiera link do obrazu PNG i metadane zawierające hash obrazu. Jeśli moduł na zainfekowanym urządzeniu zweryfikuje hash, kontynuuje pobieranie obrazu.
Badacze wyjaśnili, że moduł SDK używa prostego algorytmu steganograficznego. Po przejściu kontroli MD5 wyodrębnia zawartość pliku PNG, konkretnie wartości pikseli z kanałów ARGB, przy użyciu standardowych narzędzi Androida. Metoda getPixel pobiera wartość, w której najmniej znaczący bajt zawiera niebieski kanał obrazu, a złośliwe oprogramowanie rozpoczyna przetwarzanie od tego miejsca.
Trojan Necro może prowadzić do poważnych konsekwencji
Następne ładunki zainstalowane przez złośliwe oprogramowanie pobierają fałszywe wtyczki, które można dostosować do każdego zainfekowanego urządzenia, aby wykonywały różne czynności. Jedna z takich wtyczek umożliwia wykonywanie kodu z podwyższonymi uprawnieniami systemowymi. Zazwyczaj Android ogranicza uprzywilejowane procesy przed korzystaniem z WebView — komponentu do wyświetlania stron internetowych w aplikacjach. Aby pokonać to ograniczenie, Necro stosuje technikę znaną jako atak odbiciowy, aby utworzyć osobne wystąpienie fabryki WebView.
Ponadto ta wtyczka może pobierać i wykonywać inne pliki, które modyfikują linki wyświetlane przez WebView. Dzięki podwyższonym uprawnieniom systemowym te pliki wykonywalne mogą zmieniać adresy URL, aby wstawiać kody potwierdzające dla płatnych subskrypcji oraz pobierać i uruchamiać kod z linków kontrolowanych przez atakującego. Badacze zidentyfikowali pięć odrębnych ładunków podczas analizy Necro. Ponadto modułowa struktura Necro zapewnia liczne sposoby działania złośliwego oprogramowania.
Trojan Necro został znaleziony w dwóch aplikacjach
Badacze zidentyfikowali Necro w dwóch aplikacjach w Google Play. Jedna z nich, Wuta Camera, zebrała 10 milionów pobrań. Wersje 6.3.2.148 do 6.3.6.148 Wuta Camera zawierały złośliwy SDK odpowiedzialny za infekcje, ale aplikacja została od tego czasu zaktualizowana w celu wyeliminowania szkodliwego komponentu. Inna aplikacja, Max Browser, z około 1 milionem pobrań, również została naruszona; jednak nie jest już dostępna w Google Play.
Ponadto badacze odkryli, że Necro infekuje szereg aplikacji Androida oferowanych w alternatywnych marketplace’ach. Aplikacje te są zazwyczaj prezentowane jako zmodyfikowane wersje legalnych aplikacji, w tym Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer i Melon Sandbox.
