Статья Pegasus Chrysaor атакует WhatsApp

Некоторые владельцы мобильных телефонов по тем или иным причинам отключают автоматическое обновление ПО. Для них и предназначена очередная статья из серии “ОСТОРОЖНО!”.

Коротко, одной строкой – необходимо срочно обновить приложение WhatsApp до последней версии 2.19.134

1.jpg


Обновили? - дальше можете не читать, но для любознательных расскажу в чем собственно дело: Chrysaor

Facebook исправил критическую уязвимость нулевого дня в WhatsApp, обозначенную как CVE-2019-3568 , которая использовалась для удаленной установки программ-шпионов на телефоны путем вызова целевого устройства.

Уязвимость нулевого дня в WhatsApp - это проблема переполнения буфера, которая влияет на стек VOIP WhatsApp. Удаленный злоумышленник может использовать уязвимость для выполнения произвольного кода, отправляя специально созданные пакеты SRTCP на целевое мобильное устройство.

Facebook исправил проблему с выпуском WhatsApp для Android 2.19.134, WhatsApp Business для Android 2.19.44, WhatsApp для iOS 2.19.51, WhatsApp Business для iOS 2.19.51, WhatsApp для Windows Phone 2.18.348 и WhatsApp для Tizen. 2.18.15. Любая предыдущая версия популярного приложения для обмена мгновенными сообщениями уязвима.

Исследователями был найден вариант пресловутого программного обеспечения для наблюдения под названием Pegasus и его новую разновидность Chrysaor , предназначенного для пользователей Android, позволяющего третьим сторонам делать скриншоты, захватывать звук, читать электронную почту и отправлять данные с целевых телефонов.

Pegasus - это модульное вредоносное ПО. После сканирования целевого устройства оно устанавливает необходимые модули для чтения сообщений и почты пользователя, прослушивания вызовов, захвата снимков экрана, регистрации нажатых клавиш, удаления истории браузера, контактов и т.д.

По сути, он может следить за каждым аспектом жизни цели. Также следует отметить, что Pegasus мог даже прослушивать зашифрованные аудиопотоки и читать зашифрованные сообщения - благодаря своим функциям кейлогинга и записи звука он крал сообщения до того, как они были зашифрованы и, для входящих сообщений - после дешифрования.

Pegasus был разработан израильской NSO Group, которая долгое время считалась частью этически серого мира в сфере кибер-оружия, в который также входят такие группы, как FinFisher, Hacking Team, Vupen и Zerodium. Эти предприятия специализируются на приобретении эксплойтов нулевого дня и разработке хакерских инструментов - часто за довольно небольшие деньги - а затем распродают их.

Вредоносное ПО под названием Chrysaor было обнаружено совместными усилиями Google и команды Lookout Security Intelligence. Как и Pegasus, Chrysaor - очень сложное вредоносное ПО, используемое для проведения продвинутых шпионских кампаний. Он никогда не был доступен в Google Play и имел очень низкий объем установок из других источников.

После установки зловреда удаленный оператор может отслеживать действия жертвы на устройстве и в непосредственной близости, используя микрофон, камеру, сбор данных, а также регистрируя и отслеживая действия приложений в приложениях связи, таких как телефон и SMS.

Chrysaor имеет аналогичные возможности со своим аналогом iOS, включая возможность эксфильтрации данных из приложений, таких как WhatsApp, Skype, Viber и других.

Злодей использует методы рутирования Framaroot, чтобы найти дыры в безопасности, которые позволяют злоумышленникам повышать привилегии и нарушать изолированную программную среду приложения Android. Если целевое устройство не уязвимо для этих эксплойтов, то приложение пытается использовать двоичный файл суперпользователя, предварительно установленный, для повышения привилегий.

Chrysaor очень осторожен и запрограммирован на самоуничтожение, если есть вероятность, что он был обнаружен. Pegasus для Android сам удалит себя из телефона, если идентификатор SIM-карты MCC недействителен, существует файл « противоядие », он не сможет зарегистрироваться на серверах через 60 дней или получит от сервера команду на удаление.

Как работает Chrysaor?

Исследуем образец приложения Chrysaor, который был адаптирован для устройств, работающих под управлением Jellybean (4.3) или более ранних версий. Ниже приведен обзор масштабов и влияния приложения Chrysaor, названного com.network.android специально для целевого устройства Samsung, с дайджестом SHA256:

ade8bef0ac29fa363fc9afd958af0074478aef650adeb0318517b48bd996d5d5

После установки приложение использует известные эксплойты framaroot, чтобы повысить привилегии и взломать «песочницу» приложения Android. Если целевое устройство не уязвимо для этих эксплойтов, приложение пытается использовать двоичный файл суперпользователя, предварительно настроенный /system/csk для повышения привилегий.

После повышения привилегий приложение немедленно защищает себя и начинает собирать данные:
  • Установка себя на /system раздел для сохранения при перезагрузке
  • Удаление приложения Samsung для обновления системы ( com.sec.android.fotaclient) и отключение автообновлений для сохранения постоянства (устанавливается Settings.System.SOFTWARE_UPDATE_AUTO_UPDATE на 0)
  • Удаление push-сообщений WAP и изменение настроек сообщений WAP, возможно, в целях избежания судебной экспертизы.
  • Запуск обозревателей контента и основного цикла задач для получения удаленных команд и эксфильтрации данных.
Приложение использует шесть методов для сбора пользовательских данных:

Повторные команды :
использует аварийные сигналы для периодического повторения действий на устройстве для предоставления данных, включая сбор данных о местоположении.

Сборщики данных : сбросить весь существующий контент на устройстве в очередь. Сборщики данных используются в сочетании с повторяющимися командами для сбора пользовательских данных, включая настройки SMS, SMS-сообщения, журналы вызовов, историю браузера, календарь, контакты, электронные письма и сообщения из выбранных приложений обмена сообщениями, включая WhatsApp, Twitter, Facebook, Kakoa, Viber. и Skype, сделав / data / data каталоги приложений для чтения.

Обозреватели контента : использует платформу Android ContentObserver для сбора изменений в SMS, календаре, контактах, информации о ячейке, электронной почте, WhatsApp, Facebook, Twitter, Kakao, Viber и Skype.

Снимки экрана : захват изображения текущего экрана через буфер необработанных кадров.

Keylogging : запись входных событий,

RoomTap: тихо отвечает на телефонный звонок и остается подключенным в фоновом режиме, позволяя звонящему слышать разговоры в зоне действия микрофона телефона. Если пользователь разблокирует свое устройство, он увидит черный экран, в то время как приложение сбрасывает вызов, сбрасывает настройки вызова и готовит пользователя к нормальному взаимодействию с устройством.

Наконец, приложение может удалить себя тремя способами:
  • Через команду с сервера
  • Автоматическое удаление, если устройство не смогло зарегистрироваться на сервере через 60 дней
  • Через файл противоядия. Если приложение /sdcard/MemosForNotes присутствует на устройстве, приложение Chrysaor удаляет себя из устройства.
Чтобы стимулировать дальнейшие исследования в сообществе безопасности в Virus Total были загружены эти примеры приложений Chrysaor .

Имя пакетаSHA256 дайджестСертификат SHA1
com.network.androidade8bef0ac29fa363fc9afd958af0074478aef650adeb0318517b48bd996d5d544f6d1caa257799e57f0ecaf4e2e216178f4cb3d
com.network.android3474625e63d0893fc8f83034e835472d95195254e1e4bdf99153b7c74eb44d86516f8f516cc0fd8db53785a48c0a86554f75c3ba

В результате исследования были определены дополнительные приложения, связанные с Chrysaor.

Имя пакетаSHA256 дайджестСертификат SHA1
com.network.android98ca5f94638768e7b58889bb5df4584bf5b6af56b188da48c10a02648791b30c516f8f516cc0fd8db53785a48c0a86554f75c3ba
com.network.android5353212b70aa096d918e4eb6b49eb5ad8f59d9bec02d089e88802c01e707c3a144f6d1caa257799e57f0ecaf4e2e216178f4cb3d
com.binary.sms.receiver9fae5d148b89001555132c896879652fe1ca633d35271db34622248e048c78ae7771af1ad3a3d9c0b4d9b55260bb47c2692722cf
com.android.copye384694d3d17cd88ec3a66c740c6398e07b8ee401320ca61e26bdf96c20485b47771af1ad3a3d9c0b4d9b55260bb47c2692722cf
com.android.copy12e085ab85db887438655feebd249127d813e31df766f8c7b009f9519916e3897771af1ad3a3d9c0b4d9b55260bb47c2692722cf
com.android.copy6348104f8ef22eba5ac8ee737b192887629de987badbb1642e347d0dd01420f831a8633c2cd67ae965524d0b2192e9f14d04d016

Полный технический отчет Lookout можно посмотреть . Chrysaor на GitHub тык
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!