Нецро Тројан
2019. истраживачи сајбер безбедности открили су забрињавајући проблем: легитимна Андроид апликација у Гоогле Плаи продавници била је угрожена од стране библиотеке треће стране коју су програмери користили за генерисање прихода од оглашавања. Ова модификација је довела до тога да је 100 милиона уређаја постало повезано са серверима које су контролисали нападачи, а који су затим применили скривени терет.
Слична ситуација се сада поново појавила. Стручњаци Инфосец-а су идентификовали две нове апликације, преузете 11 милиона пута са Гоогле Плаи-а, а које су заражене истом породицом малвера. Чини се да је опет крив небезбедни комплет за развој софтвера који се користи за интеграцију рекламних функција.
Преглед садржаја
Шта је СДК?
Комплети за развој софтвера, или СДК-ови, нуде програмерима унапред изграђене оквире који поједностављују и убрзавају процес креирања апликација руковањем рутинским задацима. У овом случају, непроверени СДК модул, наизглед дизајниран да подржи приказ огласа, интегрисан је у апликације. Међутим, испод површине, омогућио је напредне методе за тајну комуникацију са компромитованим серверима. Ово је омогућило апликацијама да отпреме корисничке податке и преузму штетни код, који је могао да се изврши или ажурира у било ком тренутку.
Како Нецро тројанци заразе уређаје?
Породица злонамерног софтвера која стоји иза обе кампање зове се Нецро, и у овом случају, неке варијанте користе напредне технике попут стеганографије — ретке методе замагљивања у мобилним претњама. Одређене варијанте такође користе софистициране методе за испоруку лажног кода који може да ради са повишеним системским привилегијама. Једном када је уређај заражен, он комуницира са сервером за команду и контролу који контролише нападач. Шаље шифроване ЈСОН податке који извештавају о детаљима о компромитованом уређају и апликацији која хостује лажни модул.
Сервер затим одговара ЈСОН поруком која укључује везу до ПНГ слике и метаподатке који садрже хеш слике. Ако модул на зараженом уређају потврди хеш, наставља са преузимањем слике.
Истраживачи су објаснили да СДК модул користи једноставан стеганографски алгоритам. Након што прође МД5 проверу, извлачи садржај ПНГ датотеке, посебно вредности пиксела из АРГБ канала, користећи стандардне Андроид алате. Метод гетПикел преузима вредност у којој најмањи бајт садржи плави канал слике и малвер одатле почиње своју обраду.
Нецро Тројанац може довести до озбиљних последица
Пратећи садржај који је инсталирао злонамерни софтвер преузима лажне додатке који се могу прилагодити за сваки заражени уређај за обављање различитих радњи. Један такав додатак омогућава извршавање кода са повишеним системским привилегијама. Обично Андроид ограничава привилеговане процесе да користе ВебВиев — компоненту за приказивање веб страница унутар апликација. Да би превазишао ово ограничење, Нецро користи технику познату као напад рефлексије да би створио одвојено појављивање ВебВиев фабрике.
Поред тога, овај додатак може да преузима и извршава друге датотеке које мењају везе приказане преко ВебВиев-а. Са повишеним системским правима, ови извршни програми могу да мењају УРЛ адресе да би убацили кодове за потврду за плаћене претплате и да преузимају и покрећу код са линкова које контролише нападач. Истраживачи су идентификовали пет различитих носивости током своје анализе Нецроа. Поред тога, модуларна структура Нецро-а пружа бројне начине за рад малвера.
Нецро Тројанац је пронађен у две апликације
Истраживачи су идентификовали Нецро у две апликације на Гоогле Плаи-у. Једна од њих, Вута Цамера, прикупила је 10 милиона преузимања. Верзије 6.3.2.148 до 6.3.6.148 Вута Цамера садржале су злонамерни СДК одговоран за инфекције, али је апликација од тада ажурирана како би се елиминисала штетна компонента. Још једна апликација, Мак Бровсер, са приближно милион преузимања, такође је угрожена; међутим, више није доступан на Гоогле Плаи-у.
Поред тога, истраживачи су открили да Нецро инфицира низ Андроид апликација које се нуде на алтернативним тржиштима. Ове апликације се обично представљају као модификоване верзије легитимних апликација, укључујући Спотифи, Минецрафт, ВхатсАпп, Стумбле Гуис, Цар Паркинг Мултиплаиер и Мелон Сандбок.
