Necro Trojan
V roku 2019 výskumníci v oblasti kybernetickej bezpečnosti odhalili znepokojivý problém: legitímna aplikácia pre Android v obchode Google Play bola napadnutá knižnicou tretej strany, ktorú vývojári používali na generovanie príjmov z reklamy. Táto úprava viedla k tomu, že 100 miliónov zariadení sa pripojilo k serverom kontrolovaným útočníkmi, ktorí potom nasadili skryté užitočné zaťaženie.
Podobná situácia sa teraz opäť vynorila. Odborníci spoločnosti Infosec identifikovali dve nové aplikácie, stiahnuté zo služby Google Play 11 miliónov krát, ktoré sú infikované rovnakou skupinou škodlivého softvéru. Zdá sa, že na vine je opäť nebezpečná súprava na vývoj softvéru používaná na integráciu reklamných funkcií.
Obsah
Čo je súprava SDK?
Súpravy na vývoj softvéru alebo súpravy SDK ponúkajú vývojárom vopred zostavené rámce, ktoré zjednodušujú a urýchľujú proces vytvárania aplikácií zvládaním rutinných úloh. V tomto prípade bol do aplikácií integrovaný neoverený SDK modul, zdanlivo určený na podporu zobrazovania reklamy. Pod povrchom však umožnil pokročilé metódy na skrytú komunikáciu s napadnutými servermi. To umožnilo aplikáciám nahrávať používateľské údaje a sťahovať škodlivý kód, ktorý bolo možné kedykoľvek spustiť alebo aktualizovať.
Ako necro trójske kone infikujú zariadenia?
Rodina malvéru za oboma kampaňami sa nazýva Necro a v tomto prípade niektoré varianty využívajú pokročilé techniky, ako je steganografia – zriedkavá metóda zahmlievania v mobilných hrozbách. Niektoré varianty tiež používajú sofistikované metódy na poskytovanie podvodného kódu schopného pracovať so zvýšenými systémovými oprávneniami. Akonáhle je zariadenie infikované, komunikuje so serverom Command-and-Control ovládaným útočníkom. Posiela zašifrované údaje JSON, ktoré hlásia podrobnosti o napadnutom zariadení a aplikácii hosťujúcej podvodný modul.
Server potom odpovie správou JSON, ktorá obsahuje odkaz na obrázok PNG a metadáta obsahujúce hash obrázka. Ak modul na infikovanom zariadení overí hash, pokračuje v sťahovaní obrazu.
Výskumníci vysvetlili, že modul SDK používa jednoduchý steganografický algoritmus. Po absolvovaní kontroly MD5 extrahuje obsah súboru PNG, konkrétne hodnoty pixelov z kanálov ARGB, pomocou štandardných nástrojov systému Android. Metóda getPixel načíta hodnotu, kde najmenej významný bajt obsahuje modrý kanál obrázka a malvér odtiaľ začne svoje spracovanie.
Necro Trojan by mohol viesť k vážnym následkom
Následné užitočné zaťaženia nainštalované malvérom sťahujú podvodné doplnky, ktoré možno prispôsobiť pre každé infikované zariadenie tak, aby vykonávali rôzne akcie. Jeden takýto doplnok umožňuje spúšťanie kódu so zvýšenými systémovými oprávneniami. Za normálnych okolností Android obmedzuje privilegované procesy v používaní WebView – komponentu na zobrazovanie webových stránok v aplikáciách. Na prekonanie tohto obmedzenia používa Necro techniku známu ako reflexný útok na vytvorenie samostatného výskytu továrne WebView.
Okrem toho môže tento doplnok sťahovať a spúšťať ďalšie súbory, ktoré upravujú odkazy zobrazené cez WebView. So zvýšenými systémovými právami môžu tieto spustiteľné súbory meniť adresy URL na vkladanie potvrdzovacích kódov pre platené predplatné a sťahovať a spúšťať kód z odkazov kontrolovaných útočníkmi. Výskumníci počas analýzy Necro identifikovali päť rôznych užitočných zaťažení. Okrem toho modulárna štruktúra Necro poskytuje množstvo spôsobov fungovania malvéru.
Necro Trojan bol nájdený v dvoch aplikáciách
Výskumníci identifikovali Necro v dvoch aplikáciách na Google Play. Jeden z nich, Wuta Camera, získal 10 miliónov stiahnutí. Verzie 6.3.2.148 až 6.3.6.148 fotoaparátu Wuta obsahovali škodlivý SDK zodpovedný za infekcie, ale aplikácia bola odvtedy aktualizovaná, aby odstránila škodlivý komponent. Ďalšia aplikácia, Max Browser, s približne 1 miliónom stiahnutí, bola tiež napadnutá; už však nie je k dispozícii v službe Google Play.
Okrem toho vedci zistili, že Necro infikuje celý rad aplikácií pre Android ponúkaných na alternatívnych trhoch. Tieto aplikácie sú zvyčajne prezentované ako upravené verzie legitímnych aplikácií, vrátane Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer a Melon Sandbox.
