„Aktualizacja systemu” Android Malware

Użytkownicy Androida są zagrożeni przez nowe, wyrafinowane złośliwe oprogramowanie dla Androida, które podszywa się pod aplikację „Aktualizacja systemu”. Zagrożenie zostało niedawno odkryte przez badaczy infosec. Zgodnie z ich ustaleniami, szkodliwe oprogramowanie „Aktualizacja systemu” wykazuje szeroki zakres groźnych funkcji z kilkoma rzadko spotykanymi funkcjami, dobrze ugruntowaną infrastrukturą dowodzenia i kontroli (C2, C&C) z różnymi serwerami do komunikacji przychodzącej i wychodzącej, a także techniki wykrywania i unikania.

Jeśli jest w stanie przeniknąć do urządzenia użytkownika, szkodliwe oprogramowanie „Aktualizacja systemu” działa skutecznie jako RAT (trojan zdalnego dostępu), który może zbierać i eksfiltrować dane, wykonywać polecenia przychodzące i przejmować kontrolę nad niektórymi funkcjami zainfekowanego urządzenia. Należy zauważyć, że zagrożenie nie było w stanie włamać się do oficjalnego sklepu Google Play i zamiast tego rozprzestrzenia się za pośrednictwem platform aplikacji innych firm.

Szeroki zestaw wyszukanych funkcji

Szkodliwe oprogramowanie „Aktualizacja systemu” wykazuje wiele groźnych funkcji, które pozwalają napastnikom na wykonywanie różnych niecnych działań na zaatakowanym urządzeniu z Androidem. Po ustanowieniu zagrożenie inicjuje komunikację z serwerem C&C Firebase. Podczas pierwszej wymiany wysyłane są różne dane o zainfekowanym urządzeniu, w tym - czy WhatsApp jest obecny w systemie, poziom naładowania baterii, statystyki przechowywania i typ połączenia internetowego. Informacje wraz z tokenem otrzymanym z usługi komunikacyjnej Firebase służą do rejestracji urządzenia w C&C. Zagrożenie przez złośliwe oprogramowanie wykorzystuje Firebase C&C tylko do odbierania przychodzących poleceń, podczas gdy wszystkie eksfiltrowane dane są dostarczane na inny serwer C&C za pośrednictwem żądań POST.

Poszczególne polecenia otrzymane przez zagrożenie uruchamiają różne funkcje. Złośliwe oprogramowanie „Aktualizacja systemu” może uzyskać dostęp do mikrofonu i rozpocząć nagrywanie dźwięku lub nagrywać rozmowy telefoniczne. Zebrane dane zostaną zapisane jako plik archiwum ZIP przed przesłaniem na serwer C&C. Zagrożenie nieustannie dręczy użytkownika żądaniami włączenia usług ułatwień dostępu, a jeśli się powiedzie, spróbuje pobrać szczegóły rozmowy i wiadomości z ekranu WhatsApp.

Oprogramowanie szpiegowskie ustanawia wielu słuchaczy, obserwuje i rozgłasza intencje, które wywołują określone groźne działania, takie jak zbieranie danych ze schowka, szpiegowanie SMS-ów, kontaktów, dzienników połączeń, powiadomień, lokalizacji GPS itp. Pliki przechowywane na zaatakowanym urządzeniu zostaną przeskanowane, a wszelkie o rozmiarze mniejszym niż 30 MB i uznanym za wartościowe, np. posiadanie rozszerzeń .pdf, .docx, .doc, .xlsx, .xls, .pptx i .ppt, zostaną skopiowane, a następnie wyodrębnione na serwer C&C. Dalsze prywatne dane użytkownika, takie jak zakładki i historia wyszukiwania, będą również pobierane z popularnych przeglądarek internetowych, takich jak przeglądarka internetowa Samsung, Google Chrome i Mozilla Firefox.

Oprogramowanie szpiegujące jest niezwykle świadome, że gromadzone przez niego dane są jak najbardziej aktualne. Pobiera dane o lokalizacji z GPS lub sieci i aktualizuje je co 5 minut. Ta sama technika jest również stosowana do wszystkich zdjęć wykonywanych aparatem urządzenia, z wydłużeniem samego interwału do 40 minut.

Wiele technik ukrywa nieprawidłowe działania

Oprócz rozległych możliwości RAT i oprogramowania szpiegującego, szkodliwe oprogramowanie „Aktualizacja systemu” zostało również wyposażone w liczne techniki mające na celu ukrycie go przed wścibskimi oczami. Do bardziej podstawowych należy blokowanie ikony aplikacji zagrażającej, aby nie wyświetlała się ona poprawnie w szufladzie lub menu zainfekowanego urządzenia. Wszelkie pliki zawierające zebrane informacje są usuwane natychmiast po otrzymaniu pomyślnej odpowiedzi ze zdalnego serwera, na którym dane są eksfiltrowane. Podczas gromadzenia plików przechowywanych na zewnętrznych magazynach, które zawierają liczne obrazy filmów, oprogramowanie szpiegujące skupia się na gromadzeniu odpowiednich miniatur. Ta metoda pozwala na stosunkowo niezauważenie groźnej aktywności w porównaniu z alternatywą tworzenia ogromnego śladu nieprawidłowej przepustowości, szczególnie.

Jeśli złośliwe oprogramowanie „Aktualizacja systemu” otrzyma polecenie z serwera kontroli Firebase, gdy ekran zaatakowanego urządzenia jest wyłączony, generuje fałszywe powiadomienie, aby wprowadzić użytkownika w błąd. Powiadomienie udaje, że zostało wygenerowane przez system operacyjny urządzenia, wyświetlając fałszywy komunikat „Wyszukiwanie aktualizacji…”.