• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья Первая активная атака с использованием CVE-2019-2215, найденная в Google Play и связанная с SideWinder APT Group

Мы нашли три вредоносных приложения в магазине Google Play, которые работают вместе, чтобы скомпрометировать устройство жертвы и собирать информацию о пользователях. Одно из этих приложений под названием использует уязвимость , существующую в Binder (основной системе взаимодействия в Android). Это первая известная активная атака, использующая . Интересно, что после дальнейшего расследования мы также обнаружили, что эти три приложения, вероятно, будут частью арсенала группы участников угрозы SideWinder. SideWinder, группа, которая действует с 2012 года, представляет собой угрозу и, как .

Три вредоносных приложения были замаскированы под инструменты для работы с фотографиями и файловыми менеджерами. Мы предполагаем, что эти приложения были активны с марта 2019 года на основании информации о сертификате одного из приложений. С тех пор приложения были удалены из Google Play.

Fig-1.png

Рисунок 1. Три приложения, связанные с группой SideWinder

Fig-2.png

Рисунок 2. Информация о сертификате одного из приложений

Установка
SideWinder устанавливает приложение с полезной нагрузкой в два этапа. Сначала он загружает файл DEX (формат файла Android) со своего сервера управления и контроля (C & C). Мы обнаружили, что в группе используется для настройки адреса сервера C & C. Адрес был закодирован Base64, а затем установлен в качестве параметра referrer в URL-адресе, используемом при распространении вредоносного ПО.

Fig-3.png

Рисунок 3. Разобранный адрес C & C-сервера

После этого шага загруженный файл DEX загружает файл APK и устанавливает его после эксплуатации устройства или использования специальных возможностей. Все это делается без осознания или вмешательства пользователя. Чтобы избежать обнаружения, он использует много методов, таких как обфускация, шифрование данных и вызов динамического кода.

Приложения Camero и FileCrypt Manger действуют как капельницы. После загрузки дополнительного DEX-файла с C & C-сервера пипетки второго уровня вызывают дополнительный код для загрузки, установки и запуска приложения callCam на устройстве.

Fig-4.png

Рисунок 4. Двухэтапное развертывание полезной нагрузки

Fig-5.png

Рисунок 5. Код, показывающий, как дроппер вызывает дополнительный код DEX

Чтобы развернуть приложение CallCam с полезной нагрузкой на устройстве без ведома пользователя, SideWinder выполняет следующие действия:

1. Корень устройства.
Этот подход выполняется приложением-капельницей Camero и работает только в Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), и устройства Redmi 6A. Вредоносная программа извлекает определенный эксплойт с сервера C & C в зависимости от DEX, загруженного дроппером.

Fig-6.png

Рисунок 6. Фрагмент кода из Extra DEX, загруженный Camero

Мы смогли загрузить пять эксплойтов с сервера C & C во время нашего расследования. Они используют уязвимости CVE-2019-2215 и MediaTek-SU для получения привилегий root.

Fig-7.png

Рисунок 7. Эксплойт CVE-2019-2215

Fig-8.png

Рисунок 8. Эксплойт MediaTek-SU

После получения root-прав, вредоносная программа устанавливает приложение callCam, включает его разрешение на доступ и запускает его.

Fig-9.png

Рисунок 9. Команды установки приложения, запуска приложения и включения доступа

2. Использование Accessibility Permission
Этот подход используется приложением-диспетчером FileCrypt Manager и работает на большинстве типичных телефонов Android выше Android 1.6. После запуска приложение просит пользователя включить специальные возможности.

Fig-10.png

Рисунок 10. FileCrypt Manager

После предоставления приложение отображает полноэкранное окно, в котором говорится, что оно требует дальнейших действий по настройке. На самом деле это просто наложенный экран, который отображается поверх всех окон активности на устройстве. Окно наложения устанавливает свои атрибуты и , позволяя окнам активности обнаруживать и получать события касания пользователя через экран наложения.

Fig-11.png

Рисунок 11. Наложение экрана

Между тем, приложение вызывает код из дополнительного файла DEX, чтобы разрешить установку неизвестных приложений и установку приложения CallCam с полезной нагрузкой. Он также включает разрешение специальных возможностей приложения полезной нагрузки, а затем запускает приложение полезной нагрузки. Все это происходит за наложенным экраном, без ведома пользователя. И все эти шаги выполняются с помощью Accessibility.


Fig-12.png

Рисунок 12. Код, позволяющий установить неизвестные приложения и новый APK

Fig-13.png

Рисунок 13. Код включения разрешения доступа для недавно установленного приложения

Видео ниже демонстрирует развертывание полезной нагрузки через CVE-2019-2215 на Pixel 2:


Деятельность callCam

Приложение callCam скрывает свой значок на устройстве после запуска. Он собирает следующую информацию и отправляет ее обратно на сервер C & C в фоновом режиме:

  • Место расположения
  • Заряд батареи
  • Файлы на устройстве
  • Список установленных приложений
  • Информация об устройстве
  • Информация о датчике
  • Информация о камере
  • Скриншот
  • учетная запись
  • Информация Wi-Fi
  • Данные WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail и Chrome
Приложение шифрует все украденные данные с использованием алгоритмов шифрования RSA и AES. Он использует SHA256 для проверки целостности данных и настройки процедуры кодирования. При шифровании создается блок данных, который мы назвали headData. Этот блок содержит первые 9 байтов исходных данных, длину исходных данных, случайный AES IV, зашифрованный RSA ключ шифрования AES и значение SHA256 зашифрованных AES исходных данных. Затем headData кодируется через пользовательскую процедуру. После кодирования он сохраняется в заголовке окончательного зашифрованного файла, за которым следуют данные зашифрованных AES исходных данных.

Fig-14.png

Рисунок 14. Процесс шифрования данных

Fig-15.png

Рисунок 15. Настроенная процедура кодирования выполнена

Отношение к SideWinder

Эти приложения могут быть отнесены к SideWinder, так как используемые им . Кроме того, URL, ссылающийся на одну из страниц Google Play в приложениях, также находится на одном из серверов C & C.

Fig-16.png

Рисунок 16. Google Play URL-адрес приложения FileManager, обнаруженного на одном из серверов C & C.

Источник:
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!