11 милиона устройства са заразени с ботнет зловреден софтуер, хостван в Google Play

Преди пет години изследователите направиха шокиращо откритие – легитимно приложение за Android в Google Play Store беше тайно превърнато в злонамерено приложение от библиотека, която разработчиците използваха, за да печелят рекламни приходи. По този начин приложението беше заразено със софтуер, който накара 100 милиона заразени устройства да се свържат със сървъри, контролирани от нападателите, и да изтеглят тайни полезни данни.

Сега историята се повтаря. Изследователи от същата компания за сигурност, базирана в Москва, Русия, разкриха: Това беше съобщено в понеделник Те откриха две нови приложения, които са били изтеглени от Play Store 11 милиона пъти, заразени с едно и също семейство зловреден софтуер. Изследователи от Kaspersky смятат, че отново е отговорен комплект за разработка на зловреден софтуер за интегриране на рекламни възможности.

Интелигентен занаят

Комплектите за разработка на софтуер, известни като SDK, са приложения, които предоставят на разработчиците рамки, които могат драстично да ускорят процеса на създаване на приложения чрез опростяване на повтарящи се задачи. Ненадежден SDK, вграден в приложения, поддържа показване на реклами. Зад кулисите той въведе набор от усъвършенствани методи за скрита връзка със злонамерени сървъри, където приложенията качват потребителски данни и изтеглят злонамерен код, който може да бъде изпълнен и актуализиран по всяко време.

Скритото семейство зловреден софтуер и в двете кампании е известно като Necro. Този път някои варианти използват техники като напр Стелтметод на обфускация, рядко срещан в зловреден софтуер, насочен към мобилни устройства. Някои варианти също използват хитри методи за доставяне на зловреден код, който може да работи с повишени системни права. След като устройствата са заразени с този вариант, те се свързват с команден и контролен сървър, контролиран от нападателя, и изпращат уеб заявки, съдържащи криптирани файлове. Джейсън Данни, които съобщават информация за всяко уязвимо устройство и приложението, хостващо модула.

Сървърът на свой ред връща JSON отговор, съдържащ връзка към PNG изображението и свързани метаданни, които включват хеш на изображението. Ако злонамереният модул, инсталиран на заразеното устройство, потвърди, че хешът е правилен, той изтегля изображението.

Изследователите на Kaspersky обясниха в статия, публикувана от британския вестник „Daily Telegraph“, че SDK модулът „използва много прост стеганографски алгоритъм“. Отделен пост„Ако MD5 сканирането е успешно, то извлича съдържанието на PNG файла – стойностите на пикселите в ARGB каналите – с помощта на стандартни инструменти на Android. След това методът getPixel връща стойност, чийто най-малък значим байт съдържа синия канал на изображението и обработката започва в код.“

Изследователите продължиха:

Ако разгледаме синия канал на изображението като едномерен масив от байтове, първите четири байта от изображението са размерът на кодирания полезен товар във формат Little Endian (от най-маловажния байт до най-значимия байт). След това се записва полезният товар с посочения размер: това е JAR файл, кодиран с Base64, който се зарежда след дешифриране чрез DexClassLoader. Coral SDK зарежда класа sdk.fkgh.mvp.SdkEntry в JAR файл, използвайки родната библиотека libcoral.so. Тази библиотека беше обфусцирана с помощта на инструмента OLLVM. Началната точка или входната точка за изпълнение в рамките на заредения клас е методът run.

Последващите полезни натоварвания, които се инсталират, изтеглят злонамерени плъгини, които могат да се смесват и съпоставят към всяко заразено устройство, за да изпълняват множество различни действия. Един от плъгините позволява кодът да се изпълнява с повишени системни права. По подразбиране Android не позволява на привилегированите процеси да използват WebView, разширение в операционната система за показване на уеб страници в приложения. За да заобиколи това ограничение за сигурност, Necro използва хакерска техника, известна като Атака за отражение За да създадете отделен екземпляр на фабриката WebView.

Този плъгин може също да изтегли и стартира други изпълними файлове, които ще заменят връзките, показани чрез WebView. Когато се изпълняват с повишени системни права, тези изпълними файлове имат способността да променят URL адресите, за да добавят кодове за потвърждение за платени абонаменти и да изтеглят и изпълняват код, зареден на контролирани от нападателя връзки. Изследователите са включили пет отделни полезни товара, които са срещнали в своя анализ на Necro.

Модулният дизайн на Necro отваря безброй начини за поведение на зловреден софтуер. Kaspersky предостави следното изображение, което предоставя общ преглед.

Изследователите откриха Necro в две приложения на Google Play. Едно от тях е Wuta Camera, приложение, което досега е изтеглено 10 милиона пъти. Wuta Camera версии 6.3.2.148 до 6.3.6.148 съдържат комплект за разработка на зловреден софтуер, който заразява приложения. Оттогава приложението е актуализирано, за да премахне злонамерения компонент. Отделно приложение, което е изтеглено около милион пъти – известно като Max Browser – също беше заразено. Това приложение вече не е налично в Google Play.

Изследователите също така откриха, че Necro заразява различни приложения за Android, налични на алтернативни пазари. Тези приложения обикновено се рекламират като модифицирани версии на законни приложения като Spotify, MinecraftWhatsApp, Мъжете се спънаха, Мултиплейър паркиране на автомобилии Пясъчник с диня.

Хората, които се притесняват, че могат да бъдат заразени с вируса Necro, трябва да проверят устройствата си за наличие на индикаторите за компрометиране, споменати в края това писане.