Necro Trojan
Në vitin 2019, studiuesit e sigurisë kibernetike zbuluan një çështje shqetësuese: një aplikacion legjitim Android në Dyqanin Google Play ishte komprometuar nga një bibliotekë e palëve të treta e përdorur nga zhvilluesit për të gjeneruar të ardhura nga reklamat. Ky modifikim rezultoi në lidhjen e 100 milionë pajisjeve me serverë të kontrolluar nga sulmuesit, të cilët më pas vendosën ngarkesa të fshehura.
Një situatë e ngjashme tani është rishfaqur. Ekspertët e Infosec kanë identifikuar dy aplikacione të reja, të shkarkuara 11 milionë herë nga Google Play, që janë të infektuar nga e njëjta familje malware. Duket se një komplet i pasigurt i zhvillimit të softuerit i përdorur për të integruar veçoritë e reklamimit është edhe një herë fajtor.
Tabela e Përmbajtjes
Çfarë është një SDK?
Kompletet e zhvillimit të softuerit ose SDK-të, u ofrojnë zhvilluesve korniza të para-ndërtuara që thjeshtojnë dhe përshpejtojnë procesin e krijimit të aplikacionit duke trajtuar detyrat rutinë. Në këtë rast, një modul SDK i paverifikuar, i krijuar në dukje për të mbështetur shfaqjen e reklamave, u integrua në aplikacione. Megjithatë, nën sipërfaqe, ai mundësoi metoda të avancuara për komunikim të fshehtë me serverë të komprometuar. Kjo i lejoi aplikacionet të ngarkonin të dhënat e përdoruesit dhe të shkarkonin kodin e dëmshëm, i cili mund të ekzekutohej ose përditësohej në çdo kohë.
Si infektojnë pajisjet Necro Trojans?
Familja e malware që qëndron pas të dyja fushatave quhet Necro, dhe në këtë rast, disa variante përdorin teknika të avancuara si steganografia - një metodë e rrallë mjegullimi në kërcënimet celulare. Disa variante përdorin gjithashtu metoda të sofistikuara për të ofruar kode mashtruese që mund të funksionojnë me privilegje të ngritura të sistemit. Pasi një pajisje infektohet, ajo komunikon me një server Command-and-Control të kontrolluar nga sulmuesi. Ai dërgon të dhëna të koduara JSON që raportojnë detaje rreth pajisjes së komprometuar dhe aplikacionit që pret modulin mashtrues.
Serveri më pas përgjigjet me një mesazh JSON që përfshin një lidhje me një imazh PNG dhe meta të dhëna që përmbajnë hash-in e imazhit. Nëse moduli në pajisjen e infektuar verifikon hash-in, ai vazhdon të shkarkojë imazhin.
Studiuesit shpjeguan se moduli SDK përdor një algoritëm të thjeshtë steganografik. Pas kalimit të kontrollit MD5, ai nxjerr përmbajtjen e skedarit PNG, veçanërisht vlerat e pikselit nga kanalet ARGB, duke përdorur mjete standarde Android. Metoda getPixel merr një vlerë ku bajt më pak i rëndësishëm përmban kanalin blu të imazhit dhe malware fillon përpunimin e tij prej andej.
Necro Trojan mund të çojë në pasoja të rënda
Ngarkesat vijuese të instaluara nga malware shkarkojnë shtojca mashtruese që mund të personalizohen për secilën pajisje të infektuar për të kryer veprime të ndryshme. Një shtesë e tillë lejon që kodi të ekzekutohet me privilegje të ngritura të sistemit. Normalisht, Android i kufizon proceset e privilegjuara nga përdorimi i WebView - një komponent për shfaqjen e faqeve të internetit brenda aplikacioneve. Për të kapërcyer këtë kufizim, Necro përdor një teknikë të njohur si një sulm reflektimi për të krijuar një ndodhi të veçantë të fabrikës WebView.
Për më tepër, kjo shtojcë mund të shkarkojë dhe ekzekutojë skedarë të tjerë që modifikojnë lidhjet e shfaqura përmes WebView. Me të drejta të ngritura të sistemit, këto skedarë të ekzekutueshëm mund të ndryshojnë URL-të për të futur kode konfirmimi për abonimet me pagesë dhe për të shkarkuar dhe ekzekutuar kodin nga lidhjet e kontrolluara nga sulmuesi. Studiuesit identifikuan pesë ngarkesa të veçanta gjatë analizës së tyre të Necro. Përveç kësaj, struktura modulare e Necro ofron mënyra të shumta për funksionimin e malware.
Necro Trojan u gjet në dy aplikacione
Studiuesit identifikuan Necro në dy aplikacione në Google Play. Një prej tyre, Wuta Camera, ka mbledhur 10 milionë shkarkime. Versionet 6.3.2.148 deri në 6.3.6.148 të Wuta Camera përmbanin SDK-në me qëllim të keq përgjegjës për infeksionet, por aplikacioni që atëherë është përditësuar për të eliminuar komponentin e dëmshëm. Një tjetër aplikacion, Max Browser, me afërsisht 1 milion shkarkime, gjithashtu u komprometua; megjithatë, ai nuk është më i disponueshëm në Google Play.
Përveç kësaj, studiuesit zbuluan Necro duke infektuar një sërë aplikacionesh Android të ofruara në tregje alternative. Këto aplikacione zakonisht paraqiten si versione të modifikuara të aplikacioneve legjitime, duke përfshirë Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer dhe Melon Sandbox.
