Necro Trojan
Leta 2019 so raziskovalci kibernetske varnosti odkrili zaskrbljujočo težavo: zakonito aplikacijo za Android v trgovini Google Play je ogrozila knjižnica tretje osebe, ki so jo razvijalci uporabljali za ustvarjanje prihodkov od oglaševanja. Ta sprememba je povzročila, da se je 100 milijonov naprav povezalo s strežniki, ki jih nadzorujejo napadalci, ki so nato namestili skrite koristne obremenitve.
Podobna situacija se je zdaj znova pojavila. Strokovnjaki Infosec so odkrili dve novi aplikaciji, ki sta bili 11-milijonkrat preneseni iz Googla Play in sta okuženi z isto družino zlonamerne programske opreme. Zdi se, da je spet kriv nevaren komplet za razvoj programske opreme, ki se uporablja za integracijo oglaševalskih funkcij.
Kazalo
Kaj je SDK?
Kompleti za razvoj programske opreme ali SDK-ji razvijalcem ponujajo vnaprej zgrajena ogrodja, ki poenostavijo in pospešijo postopek ustvarjanja aplikacij z obravnavanjem rutinskih nalog. V tem primeru je bil v aplikacije integriran nepreverjen modul SDK, ki naj bi bil zasnovan za podporo prikazovanju oglasov. Vendar pa je pod površjem omogočal napredne metode za prikrito komuniciranje z ogroženimi strežniki. To je aplikacijam omogočilo nalaganje uporabniških podatkov in prenos škodljive kode, ki jo je bilo mogoče kadar koli izvesti ali posodobiti.
Kako trojanci Necro okužijo naprave?
Družina zlonamerne programske opreme, ki stoji za obema kampanjama, se imenuje Necro in v tem primeru nekatere različice uporabljajo napredne tehnike, kot je steganografija – redka metoda zamegljevanja pri mobilnih grožnjah. Določene različice uporabljajo tudi sofisticirane metode za dostavo goljufive kode, ki lahko deluje s povišanimi sistemskimi pravicami. Ko je naprava okužena, komunicira s strežnikom Command-and-Control, ki ga nadzoruje napadalec. Pošlje šifrirane podatke JSON, ki poročajo o podrobnostih o ogroženi napravi in aplikaciji, ki gosti goljufivi modul.
Strežnik se nato odzove s sporočilom JSON, ki vključuje povezavo do slike PNG in metapodatke, ki vsebujejo zgoščeno vrednost slike. Če modul na okuženi napravi preveri zgoščeno vrednost, nadaljuje s prenosom slike.
Raziskovalci so pojasnili, da modul SDK uporablja preprost steganografski algoritem. Ko opravi preverjanje MD5, ekstrahira vsebino datoteke PNG, natančneje vrednosti slikovnih pik iz kanalov ARGB, z uporabo standardnih orodij Android. Metoda getPixel pridobi vrednost, kjer najmanj pomemben bajt vsebuje modri kanal slike, in zlonamerna programska oprema od tam začne svojo obdelavo.
Trojanec Necro bi lahko povzročil resne posledice
Nadaljnje koristne obremenitve, ki jih namesti zlonamerna programska oprema, prenesejo goljufive vtičnike, ki jih je mogoče prilagoditi za vsako okuženo napravo za izvajanje različnih dejanj. En tak vtičnik omogoča izvajanje kode s povišanimi sistemskimi pravicami. Običajno Android privilegiranim procesom omejuje uporabo WebView-komponente za prikazovanje spletnih strani znotraj aplikacij. Da bi premagal to omejitev, Necro uporablja tehniko, znano kot refleksijski napad, da ustvari ločen pojav tovarne WebView.
Poleg tega lahko ta vtičnik prenese in izvaja druge datoteke, ki spreminjajo povezave, prikazane prek WebView. S povišanimi sistemskimi pravicami lahko te izvršljive datoteke spremenijo URL-je, da vstavijo potrditvene kode za plačane naročnine ter prenesejo in zaženejo kodo s povezav, ki jih nadzorujejo napadalci. Raziskovalci so med analizo Necroja identificirali pet različnih tovorov. Poleg tega modularna struktura Necro omogoča številne načine za delovanje zlonamerne programske opreme.
Trojanec Necro je bil najden v dveh aplikacijah
Raziskovalci so identificirali Necro v dveh aplikacijah v Googlu Play. Ena izmed njih, Wuta Camera, je zbrala 10 milijonov prenosov. Različice od 6.3.2.148 do 6.3.6.148 kamere Wuta so vsebovale zlonamerni SDK, odgovoren za okužbe, vendar je bila aplikacija od takrat posodobljena, da odstrani škodljivo komponento. Druga aplikacija, Max Browser, s približno 1 milijonom prenosov, je bila prav tako ogrožena; vendar ni več na voljo v Googlu Play.
Poleg tega so raziskovalci odkrili, da je Necro okužil vrsto aplikacij za Android, ki so na voljo na alternativnih trgih. Te aplikacije so običajno predstavljene kot spremenjene različice zakonitih aplikacij, vključno s Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer in Melon Sandbox.
