Троян Necro
У 2019 році дослідники з кібербезпеки виявили тривожну проблему: легітимну програму Android у магазині Google Play було зламано сторонньою бібліотекою, яку розробники використовували для отримання прибутку від реклами. Ця модифікація призвела до того, що 100 мільйонів пристроїв підключилися до серверів, контрольованих зловмисниками, які потім розгорнули приховані корисні навантаження.
Подібна ситуація зараз повторилася. Фахівці Infosec ідентифікували дві нові програми, завантажені 11 мільйонів разів з Google Play, які заражені одним і тим же сімейством шкідливих програм. Схоже, знову винен небезпечний комплект розробки програмного забезпечення, який використовується для інтеграції рекламних функцій.
Зміст
Що таке SDK?
Комплекти розробки програмного забезпечення, або SDK, пропонують розробникам готові інфраструктури, які спрощують і прискорюють процес створення додатків, виконуючи рутинні завдання. У цьому випадку в додатки було інтегровано неперевірений модуль SDK, начебто призначений для підтримки показу реклами. Однак під поверхнею він увімкнув передові методи для прихованого зв’язку зі зламаними серверами. Це дозволяло додаткам завантажувати дані користувача та завантажувати шкідливий код, який міг бути виконаний або оновлений у будь-який час.
Як трояни Necro заражають пристрої?
Сімейство зловмисних програм, що стоїть за обома кампаніями, називається Necro, і в цьому випадку деякі варіанти використовують передові методи, такі як стеганографія — рідкісний метод обфускації в мобільних загрозах. Деякі варіанти також використовують складні методи для доставки шахрайського коду, здатного працювати з підвищеними системними привілеями. Після зараження пристрій зв’язується з керованим зловмисником сервером командування та керування. Він надсилає зашифровані дані JSON, які повідомляють деталі про скомпрометований пристрій і програму, у якій розміщено шахрайський модуль.
Потім сервер відповідає повідомленням JSON, яке містить посилання на зображення PNG і метадані, що містять хеш зображення. Якщо модуль на зараженому пристрої перевірить хеш, він переходить до завантаження зображення.
Дослідники пояснили, що модуль SDK використовує простий стеганографічний алгоритм. Після проходження перевірки MD5 він витягує вміст файлу PNG, зокрема значення пікселів з каналів ARGB, за допомогою стандартних інструментів Android. Метод getPixel отримує значення, де молодший байт містить синій канал зображення, і зловмисне програмне забезпечення починає свою обробку звідти.
Троян Necro може призвести до тяжких наслідків
Наступні корисні навантаження, встановлені шкідливим програмним забезпеченням, завантажують шахрайські плагіни, які можна налаштувати для кожного зараженого пристрою для виконання різних дій. Один із таких плагінів дозволяє коду виконуватися з підвищеними системними привілеями. Зазвичай Android обмежує привілейованим процесам використання WebView — компонента для відображення веб-сторінок у програмах. Щоб подолати це обмеження, Necro використовує техніку, відому як атака відображення, щоб створити окремий екземпляр фабрики WebView.
Крім того, цей плагін може завантажувати та запускати інші файли, які змінюють посилання, що відображаються через WebView. З підвищеними системними правами ці виконувані файли можуть змінювати URL-адреси, щоб вставляти коди підтвердження для платних підписок, а також завантажувати та запускати код із посилань, контрольованих зловмисниками. Під час аналізу Necro дослідники визначили п’ять різних корисних навантажень. Крім того, модульна структура Necro забезпечує численні способи роботи зловмисного програмного забезпечення.
Троян Necro виявлено у двох програмах
Дослідники ідентифікували Necro у двох додатках Google Play. Один із них, Wuta Camera, зібрав 10 мільйонів завантажень. Версії від 6.3.2.148 до 6.3.6.148 Wuta Camera містили шкідливий SDK, відповідальний за зараження, але з тих пір додаток було оновлено, щоб усунути шкідливий компонент. Інша програма, Max Browser, з приблизно 1 мільйоном завантажень, також була скомпрометована; однак він більше не доступний у Google Play.
Крім того, дослідники виявили, що Necro заражає низку додатків Android, які пропонуються на альтернативних ринках. Ці програми зазвичай представлені як модифіковані версії законних програм, зокрема Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer і Melon Sandbox.
