Некоторые владельцы мобильных телефонов по тем или иным причинам отключают автоматическое обновление ПО. Для них и предназначена очередная статья из серии “ОСТОРОЖНО!”.
Коротко, одной строкой – необходимо срочно обновить приложение WhatsApp до последней версии 2.19.134
Обновили? - дальше можете не читать, но для любознательных расскажу в чем собственно дело: Chrysaor
Facebook исправил критическую уязвимость нулевого дня в WhatsApp, обозначенную как CVE-2019-3568 , которая использовалась для удаленной установки программ-шпионов на телефоны путем вызова целевого устройства.
Уязвимость нулевого дня в WhatsApp - это проблема переполнения буфера, которая влияет на стек VOIP WhatsApp. Удаленный злоумышленник может использовать уязвимость для выполнения произвольного кода, отправляя специально созданные пакеты SRTCP на целевое мобильное устройство.
Facebook исправил проблему с выпуском WhatsApp для Android 2.19.134, WhatsApp Business для Android 2.19.44, WhatsApp для iOS 2.19.51, WhatsApp Business для iOS 2.19.51, WhatsApp для Windows Phone 2.18.348 и WhatsApp для Tizen. 2.18.15. Любая предыдущая версия популярного приложения для обмена мгновенными сообщениями уязвима.
Исследователями был найден вариант пресловутого программного обеспечения для наблюдения под названием Pegasus и его новую разновидность Chrysaor , предназначенного для пользователей Android, позволяющего третьим сторонам делать скриншоты, захватывать звук, читать электронную почту и отправлять данные с целевых телефонов.
Pegasus - это модульное вредоносное ПО. После сканирования целевого устройства оно устанавливает необходимые модули для чтения сообщений и почты пользователя, прослушивания вызовов, захвата снимков экрана, регистрации нажатых клавиш, удаления истории браузера, контактов и т.д.
По сути, он может следить за каждым аспектом жизни цели. Также следует отметить, что Pegasus мог даже прослушивать зашифрованные аудиопотоки и читать зашифрованные сообщения - благодаря своим функциям кейлогинга и записи звука он крал сообщения до того, как они были зашифрованы и, для входящих сообщений - после дешифрования.
Pegasus был разработан израильской NSO Group, которая долгое время считалась частью этически серого мира в сфере кибер-оружия, в который также входят такие группы, как FinFisher, Hacking Team, Vupen и Zerodium. Эти предприятия специализируются на приобретении эксплойтов нулевого дня и разработке хакерских инструментов - часто за довольно небольшие деньги - а затем распродают их.
Вредоносное ПО под названием Chrysaor было обнаружено совместными усилиями Google и команды Lookout Security Intelligence. Как и Pegasus, Chrysaor - очень сложное вредоносное ПО, используемое для проведения продвинутых шпионских кампаний. Он никогда не был доступен в Google Play и имел очень низкий объем установок из других источников.
После установки зловреда удаленный оператор может отслеживать действия жертвы на устройстве и в непосредственной близости, используя микрофон, камеру, сбор данных, а также регистрируя и отслеживая действия приложений в приложениях связи, таких как телефон и SMS.
Chrysaor имеет аналогичные возможности со своим аналогом iOS, включая возможность эксфильтрации данных из приложений, таких как WhatsApp, Skype, Viber и других.
Злодей использует методы рутирования Framaroot, чтобы найти дыры в безопасности, которые позволяют злоумышленникам повышать привилегии и нарушать изолированную программную среду приложения Android. Если целевое устройство не уязвимо для этих эксплойтов, то приложение пытается использовать двоичный файл суперпользователя, предварительно установленный, для повышения привилегий.
Chrysaor очень осторожен и запрограммирован на самоуничтожение, если есть вероятность, что он был обнаружен. Pegasus для Android сам удалит себя из телефона, если идентификатор SIM-карты MCC недействителен, существует файл « противоядие », он не сможет зарегистрироваться на серверах через 60 дней или получит от сервера команду на удаление.
Как работает Chrysaor?
Исследуем образец приложения Chrysaor, который был адаптирован для устройств, работающих под управлением Jellybean (4.3) или более ранних версий. Ниже приведен обзор масштабов и влияния приложения Chrysaor, названного com.network.android специально для целевого устройства Samsung, с дайджестом SHA256:
ade8bef0ac29fa363fc9afd958af0074478aef650adeb0318517b48bd996d5d5
После установки приложение использует известные эксплойты framaroot, чтобы повысить привилегии и взломать «песочницу» приложения Android. Если целевое устройство не уязвимо для этих эксплойтов, приложение пытается использовать двоичный файл суперпользователя, предварительно настроенный /system/csk для повышения привилегий.
После повышения привилегий приложение немедленно защищает себя и начинает собирать данные:
Повторные команды : использует аварийные сигналы для периодического повторения действий на устройстве для предоставления данных, включая сбор данных о местоположении.
Сборщики данных : сбросить весь существующий контент на устройстве в очередь. Сборщики данных используются в сочетании с повторяющимися командами для сбора пользовательских данных, включая настройки SMS, SMS-сообщения, журналы вызовов, историю браузера, календарь, контакты, электронные письма и сообщения из выбранных приложений обмена сообщениями, включая WhatsApp, Twitter, Facebook, Kakoa, Viber. и Skype, сделав / data / data каталоги приложений для чтения.
Обозреватели контента : использует платформу Android ContentObserver для сбора изменений в SMS, календаре, контактах, информации о ячейке, электронной почте, WhatsApp, Facebook, Twitter, Kakao, Viber и Skype.
Снимки экрана : захват изображения текущего экрана через буфер необработанных кадров.
Keylogging : запись входных событий,
RoomTap: тихо отвечает на телефонный звонок и остается подключенным в фоновом режиме, позволяя звонящему слышать разговоры в зоне действия микрофона телефона. Если пользователь разблокирует свое устройство, он увидит черный экран, в то время как приложение сбрасывает вызов, сбрасывает настройки вызова и готовит пользователя к нормальному взаимодействию с устройством.
Наконец, приложение может удалить себя тремя способами:
В результате исследования были определены дополнительные приложения, связанные с Chrysaor.
Полный технический отчет Lookout можно посмотреть
Коротко, одной строкой – необходимо срочно обновить приложение WhatsApp до последней версии 2.19.134
Обновили? - дальше можете не читать, но для любознательных расскажу в чем собственно дело: Chrysaor
Facebook исправил критическую уязвимость нулевого дня в WhatsApp, обозначенную как CVE-2019-3568 , которая использовалась для удаленной установки программ-шпионов на телефоны путем вызова целевого устройства.
Уязвимость нулевого дня в WhatsApp - это проблема переполнения буфера, которая влияет на стек VOIP WhatsApp. Удаленный злоумышленник может использовать уязвимость для выполнения произвольного кода, отправляя специально созданные пакеты SRTCP на целевое мобильное устройство.
Facebook исправил проблему с выпуском WhatsApp для Android 2.19.134, WhatsApp Business для Android 2.19.44, WhatsApp для iOS 2.19.51, WhatsApp Business для iOS 2.19.51, WhatsApp для Windows Phone 2.18.348 и WhatsApp для Tizen. 2.18.15. Любая предыдущая версия популярного приложения для обмена мгновенными сообщениями уязвима.
Исследователями был найден вариант пресловутого программного обеспечения для наблюдения под названием Pegasus и его новую разновидность Chrysaor , предназначенного для пользователей Android, позволяющего третьим сторонам делать скриншоты, захватывать звук, читать электронную почту и отправлять данные с целевых телефонов.
Pegasus - это модульное вредоносное ПО. После сканирования целевого устройства оно устанавливает необходимые модули для чтения сообщений и почты пользователя, прослушивания вызовов, захвата снимков экрана, регистрации нажатых клавиш, удаления истории браузера, контактов и т.д.
По сути, он может следить за каждым аспектом жизни цели. Также следует отметить, что Pegasus мог даже прослушивать зашифрованные аудиопотоки и читать зашифрованные сообщения - благодаря своим функциям кейлогинга и записи звука он крал сообщения до того, как они были зашифрованы и, для входящих сообщений - после дешифрования.
Pegasus был разработан израильской NSO Group, которая долгое время считалась частью этически серого мира в сфере кибер-оружия, в который также входят такие группы, как FinFisher, Hacking Team, Vupen и Zerodium. Эти предприятия специализируются на приобретении эксплойтов нулевого дня и разработке хакерских инструментов - часто за довольно небольшие деньги - а затем распродают их.
Вредоносное ПО под названием Chrysaor было обнаружено совместными усилиями Google и команды Lookout Security Intelligence. Как и Pegasus, Chrysaor - очень сложное вредоносное ПО, используемое для проведения продвинутых шпионских кампаний. Он никогда не был доступен в Google Play и имел очень низкий объем установок из других источников.
После установки зловреда удаленный оператор может отслеживать действия жертвы на устройстве и в непосредственной близости, используя микрофон, камеру, сбор данных, а также регистрируя и отслеживая действия приложений в приложениях связи, таких как телефон и SMS.
Chrysaor имеет аналогичные возможности со своим аналогом iOS, включая возможность эксфильтрации данных из приложений, таких как WhatsApp, Skype, Viber и других.
Злодей использует методы рутирования Framaroot, чтобы найти дыры в безопасности, которые позволяют злоумышленникам повышать привилегии и нарушать изолированную программную среду приложения Android. Если целевое устройство не уязвимо для этих эксплойтов, то приложение пытается использовать двоичный файл суперпользователя, предварительно установленный, для повышения привилегий.
Chrysaor очень осторожен и запрограммирован на самоуничтожение, если есть вероятность, что он был обнаружен. Pegasus для Android сам удалит себя из телефона, если идентификатор SIM-карты MCC недействителен, существует файл « противоядие », он не сможет зарегистрироваться на серверах через 60 дней или получит от сервера команду на удаление.
Как работает Chrysaor?
Исследуем образец приложения Chrysaor, который был адаптирован для устройств, работающих под управлением Jellybean (4.3) или более ранних версий. Ниже приведен обзор масштабов и влияния приложения Chrysaor, названного com.network.android специально для целевого устройства Samsung, с дайджестом SHA256:
ade8bef0ac29fa363fc9afd958af0074478aef650adeb0318517b48bd996d5d5
После установки приложение использует известные эксплойты framaroot, чтобы повысить привилегии и взломать «песочницу» приложения Android. Если целевое устройство не уязвимо для этих эксплойтов, приложение пытается использовать двоичный файл суперпользователя, предварительно настроенный /system/csk для повышения привилегий.
После повышения привилегий приложение немедленно защищает себя и начинает собирать данные:
- Установка себя на /system раздел для сохранения при перезагрузке
- Удаление приложения Samsung для обновления системы ( com.sec.android.fotaclient) и отключение автообновлений для сохранения постоянства (устанавливается Settings.System.SOFTWARE_UPDATE_AUTO_UPDATE на 0)
- Удаление push-сообщений WAP и изменение настроек сообщений WAP, возможно, в целях избежания судебной экспертизы.
- Запуск обозревателей контента и основного цикла задач для получения удаленных команд и эксфильтрации данных.
Повторные команды : использует аварийные сигналы для периодического повторения действий на устройстве для предоставления данных, включая сбор данных о местоположении.
Сборщики данных : сбросить весь существующий контент на устройстве в очередь. Сборщики данных используются в сочетании с повторяющимися командами для сбора пользовательских данных, включая настройки SMS, SMS-сообщения, журналы вызовов, историю браузера, календарь, контакты, электронные письма и сообщения из выбранных приложений обмена сообщениями, включая WhatsApp, Twitter, Facebook, Kakoa, Viber. и Skype, сделав / data / data каталоги приложений для чтения.
Обозреватели контента : использует платформу Android ContentObserver для сбора изменений в SMS, календаре, контактах, информации о ячейке, электронной почте, WhatsApp, Facebook, Twitter, Kakao, Viber и Skype.
Снимки экрана : захват изображения текущего экрана через буфер необработанных кадров.
Keylogging : запись входных событий,
RoomTap: тихо отвечает на телефонный звонок и остается подключенным в фоновом режиме, позволяя звонящему слышать разговоры в зоне действия микрофона телефона. Если пользователь разблокирует свое устройство, он увидит черный экран, в то время как приложение сбрасывает вызов, сбрасывает настройки вызова и готовит пользователя к нормальному взаимодействию с устройством.
Наконец, приложение может удалить себя тремя способами:
- Через команду с сервера
- Автоматическое удаление, если устройство не смогло зарегистрироваться на сервере через 60 дней
- Через файл противоядия. Если приложение /sdcard/MemosForNotes присутствует на устройстве, приложение Chrysaor удаляет себя из устройства.
| Имя пакета | SHA256 дайджест | Сертификат SHA1 |
| com.network.android | ade8bef0ac29fa363fc9afd958af0074478aef650adeb0318517b48bd996d5d5 | 44f6d1caa257799e57f0ecaf4e2e216178f4cb3d |
| com.network.android | 3474625e63d0893fc8f83034e835472d95195254e1e4bdf99153b7c74eb44d86 | 516f8f516cc0fd8db53785a48c0a86554f75c3ba |
В результате исследования были определены дополнительные приложения, связанные с Chrysaor.
| Имя пакета | SHA256 дайджест | Сертификат SHA1 |
| com.network.android | 98ca5f94638768e7b58889bb5df4584bf5b6af56b188da48c10a02648791b30c | 516f8f516cc0fd8db53785a48c0a86554f75c3ba |
| com.network.android | 5353212b70aa096d918e4eb6b49eb5ad8f59d9bec02d089e88802c01e707c3a1 | 44f6d1caa257799e57f0ecaf4e2e216178f4cb3d |
| com.binary.sms.receiver | 9fae5d148b89001555132c896879652fe1ca633d35271db34622248e048c78ae | 7771af1ad3a3d9c0b4d9b55260bb47c2692722cf |
| com.android.copy | e384694d3d17cd88ec3a66c740c6398e07b8ee401320ca61e26bdf96c20485b4 | 7771af1ad3a3d9c0b4d9b55260bb47c2692722cf |
| com.android.copy | 12e085ab85db887438655feebd249127d813e31df766f8c7b009f9519916e389 | 7771af1ad3a3d9c0b4d9b55260bb47c2692722cf |
| com.android.copy | 6348104f8ef22eba5ac8ee737b192887629de987badbb1642e347d0dd01420f8 | 31a8633c2cd67ae965524d0b2192e9f14d04d016 |
Полный технический отчет Lookout можно посмотреть
Ссылка скрыта от гостей
. Chrysaor на GitHub тык