Necro Trojan
Noong 2019, natuklasan ng mga mananaliksik sa cybersecurity ang isang nakakabahalang isyu: isang lehitimong Android application sa Google Play Store ang nakompromiso ng isang third-party na library na ginagamit ng mga developer para kumita ng advertising. Ang pagbabagong ito ay nagresulta sa 100 milyong device na naging konektado sa mga server na kinokontrol ng mga umaatake, na pagkatapos ay nag-deploy ng mga nakatagong payload.
Ang isang katulad na sitwasyon ay muling lumitaw. Natukoy ng mga eksperto sa Infosec ang dalawang bagong application, na na-download nang 11 milyong beses mula sa Google Play, na nahawaan ng parehong pamilya ng malware. Lumilitaw na ang isang hindi ligtas na software development kit na ginamit upang pagsamahin ang mga feature ng advertising ay muling masisi.
Talaan ng mga Nilalaman
Ano ang SDK?
Ang mga software development kit, o SDK, ay nag-aalok sa mga developer ng mga pre-built na framework na nagpapasimple at nagpapabilis sa proseso ng paggawa ng application sa pamamagitan ng paghawak sa mga nakagawiang gawain. Sa kasong ito, isang hindi na-verify na module ng SDK, na tila idinisenyo upang suportahan ang pagpapakita ng ad, ay isinama sa mga application. Gayunpaman, sa ilalim ng ibabaw, pinagana nito ang mga advanced na pamamaraan para sa patagong pakikipag-ugnayan sa mga nakompromisong server. Pinayagan nito ang mga application na mag-upload ng data ng user at mag-download ng mapaminsalang code, na maaaring isagawa o i-update anumang oras.
Paano Nai-infect ng Necro Trojans ang Mga Device?
Ang pamilya ng malware sa likod ng parehong campaign ay tinatawag na Necro, at sa pagkakataong ito, gumagamit ang ilang variant ng mga advanced na diskarte tulad ng steganography—isang bihirang paraan ng obfuscation sa mga banta sa mobile. Gumagamit din ang ilang partikular na variant ng mga sopistikadong pamamaraan para maghatid ng mapanlinlang na code na may kakayahang gumana nang may mataas na mga pribilehiyo ng system. Kapag na-infect ang isang device, nakikipag-ugnayan ito sa isang Command-and-Control server na kontrolado ng attacker. Nagpapadala ito ng naka-encrypt na data ng JSON na nag-uulat ng mga detalye tungkol sa nakompromisong device at sa application na nagho-host ng mapanlinlang na module.
Pagkatapos ay tumugon ang server gamit ang isang mensahe ng JSON na may kasamang link sa isang PNG na larawan at metadata na naglalaman ng hash ng larawan. Kung na-verify ng module sa nahawaang device ang hash, magpapatuloy itong i-download ang larawan.
Ipinaliwanag ng mga mananaliksik na ang SDK module ay gumagamit ng isang simpleng steganographic algorithm. Sa pagpasa sa MD5 check, kinukuha nito ang mga nilalaman ng PNG file, partikular ang mga halaga ng pixel mula sa mga ARGB channel, gamit ang karaniwang mga tool sa Android. Kinukuha ng paraan ng getPixel ang isang halaga kung saan ang hindi gaanong makabuluhang byte ay naglalaman ng asul na channel ng larawan, at sisimulan ng malware ang pagproseso nito mula doon.
Ang Necro Trojan ay maaaring humantong sa malubhang kahihinatnan
Ang mga follow-on na payload na na-install ng malware ay nagda-download ng mga mapanlinlang na plugin na maaaring i-customize para sa bawat nahawaang device upang magsagawa ng iba't ibang pagkilos. Ang isang ganoong plugin ay nagbibigay-daan sa code na maisagawa nang may mataas na mga pribilehiyo ng system. Karaniwan, pinaghihigpitan ng Android ang mga privileged na proseso mula sa paggamit ng WebView—isang bahagi para sa pagpapakita ng mga Web page sa loob ng mga application. Upang malampasan ang paghihigpit na ito, gumamit ang Necro ng isang pamamaraan na kilala bilang isang pag-atake ng pagmuni-muni upang lumikha ng isang hiwalay na pangyayari ng pabrika ng WebView.
Bilang karagdagan, ang plugin na ito ay maaaring mag-download at magsagawa ng iba pang mga file na nagbabago ng mga link na ipinapakita sa pamamagitan ng WebView. Sa mataas na mga karapatan ng system, maaaring baguhin ng mga executable na ito ang mga URL para maglagay ng mga code ng kumpirmasyon para sa mga bayad na subscription at mag-download at magpatakbo ng code mula sa mga link na kinokontrol ng attacker. Natukoy ng mga mananaliksik ang limang natatanging mga payload sa panahon ng kanilang pagsusuri sa Necro. Bilang karagdagan, ang modular na istraktura ng Necro ay nagbibigay ng maraming paraan para gumana ang malware.
Ang Necro Trojan ay Natagpuan sa Dalawang Application
Natukoy ng mga mananaliksik ang Necro sa dalawang application sa Google Play. Ang isa sa kanila, ang Wuta Camera, ay nakakuha ng 10 milyong pag-download. Ang mga bersyon 6.3.2.148 hanggang 6.3.6.148 ng Wuta Camera ay naglalaman ng nakakahamak na SDK na responsable para sa mga impeksyon, ngunit ang application ay na-update na upang alisin ang nakakapinsalang bahagi. Ang isa pang application, ang Max Browser, na may humigit-kumulang 1 milyong pag-download, ay nakompromiso din; gayunpaman, hindi na ito available sa Google Play.
Bilang karagdagan, natuklasan ng mga mananaliksik ang Necro na nakakahawa sa isang hanay ng mga Android application na inaalok sa mga alternatibong marketplace. Ang mga application na ito ay karaniwang ipinapakita bilang mga binagong bersyon ng mga lehitimong application, kabilang ang Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer at Melon Sandbox.
