Мы нашли три вредоносных приложения в магазине Google Play, которые работают вместе, чтобы скомпрометировать устройство жертвы и собирать информацию о пользователях. Одно из этих приложений под названием
Три вредоносных приложения были замаскированы под инструменты для работы с фотографиями и файловыми менеджерами. Мы предполагаем, что эти приложения были активны с марта 2019 года на основании информации о сертификате одного из приложений. С тех пор приложения были удалены из Google Play.
Рисунок 1. Три приложения, связанные с группой SideWinder
Рисунок 2. Информация о сертификате одного из приложений
Установка
SideWinder устанавливает приложение с полезной нагрузкой в два этапа. Сначала он загружает файл DEX (формат файла Android) со своего сервера управления и контроля (C & C). Мы обнаружили, что в группе используется
Рисунок 3. Разобранный адрес C & C-сервера
После этого шага загруженный файл DEX загружает файл APK и устанавливает его после эксплуатации устройства или использования специальных возможностей. Все это делается без осознания или вмешательства пользователя. Чтобы избежать обнаружения, он использует много методов, таких как обфускация, шифрование данных и вызов динамического кода.
Приложения Camero и FileCrypt Manger действуют как капельницы. После загрузки дополнительного DEX-файла с C & C-сервера пипетки второго уровня вызывают дополнительный код для загрузки, установки и запуска приложения callCam на устройстве.
Рисунок 4. Двухэтапное развертывание полезной нагрузки
Рисунок 5. Код, показывающий, как дроппер вызывает дополнительный код DEX
Чтобы развернуть приложение CallCam с полезной нагрузкой на устройстве без ведома пользователя, SideWinder выполняет следующие действия:
1. Корень устройства.
Этот подход выполняется приложением-капельницей Camero и работает только в Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), и устройства Redmi 6A. Вредоносная программа извлекает определенный эксплойт с сервера C & C в зависимости от DEX, загруженного дроппером.
Рисунок 6. Фрагмент кода из Extra DEX, загруженный Camero
Мы смогли загрузить пять эксплойтов с сервера C & C во время нашего расследования. Они используют уязвимости CVE-2019-2215 и MediaTek-SU для получения привилегий root.
Рисунок 7. Эксплойт CVE-2019-2215
Рисунок 8. Эксплойт MediaTek-SU
После получения root-прав, вредоносная программа устанавливает приложение callCam, включает его разрешение на доступ и запускает его.
Рисунок 9. Команды установки приложения, запуска приложения и включения доступа
2. Использование Accessibility Permission
Этот подход используется приложением-диспетчером FileCrypt Manager и работает на большинстве типичных телефонов Android выше Android 1.6. После запуска приложение просит пользователя включить специальные возможности.
Рисунок 10. FileCrypt Manager
После предоставления приложение отображает полноэкранное окно, в котором говорится, что оно требует дальнейших действий по настройке. На самом деле это просто наложенный экран, который отображается поверх всех окон активности на устройстве. Окно наложения устанавливает свои атрибуты
Рисунок 11. Наложение экрана
Между тем, приложение вызывает код из дополнительного файла DEX, чтобы разрешить установку неизвестных приложений и установку приложения CallCam с полезной нагрузкой. Он также включает разрешение специальных возможностей приложения полезной нагрузки, а затем запускает приложение полезной нагрузки. Все это происходит за наложенным экраном, без ведома пользователя. И все эти шаги выполняются с помощью Accessibility.
Рисунок 12. Код, позволяющий установить неизвестные приложения и новый APK
Рисунок 13. Код включения разрешения доступа для недавно установленного приложения
Видео ниже демонстрирует развертывание полезной нагрузки через CVE-2019-2215 на Pixel 2:
Деятельность callCam
Приложение callCam скрывает свой значок на устройстве после запуска. Он собирает следующую информацию и отправляет ее обратно на сервер C & C в фоновом режиме:
Рисунок 14. Процесс шифрования данных
Рисунок 15. Настроенная процедура кодирования выполнена
Отношение к SideWinder
Эти приложения могут быть отнесены к SideWinder, так как используемые им
Рисунок 16. Google Play URL-адрес приложения FileManager, обнаруженного на одном из серверов C & C.
Источник:
Ссылка скрыта от гостей
использует уязвимость
Ссылка скрыта от гостей
, существующую в Binder (основной системе
Ссылка скрыта от гостей
взаимодействия в Android). Это первая известная активная атака, использующая
Ссылка скрыта от гостей
. Интересно, что после дальнейшего расследования мы также обнаружили, что эти три приложения, вероятно, будут частью арсенала группы участников угрозы SideWinder. SideWinder, группа, которая действует с 2012 года, представляет собой угрозу и, как
Ссылка скрыта от гостей
.Три вредоносных приложения были замаскированы под инструменты для работы с фотографиями и файловыми менеджерами. Мы предполагаем, что эти приложения были активны с марта 2019 года на основании информации о сертификате одного из приложений. С тех пор приложения были удалены из Google Play.
Рисунок 1. Три приложения, связанные с группой SideWinder
Рисунок 2. Информация о сертификате одного из приложений
Установка
SideWinder устанавливает приложение с полезной нагрузкой в два этапа. Сначала он загружает файл DEX (формат файла Android) со своего сервера управления и контроля (C & C). Мы обнаружили, что в группе используется
Ссылка скрыта от гостей
для настройки адреса сервера C & C. Адрес был закодирован Base64, а затем установлен в качестве параметра referrer в URL-адресе, используемом при распространении вредоносного ПО.
Рисунок 3. Разобранный адрес C & C-сервера
После этого шага загруженный файл DEX загружает файл APK и устанавливает его после эксплуатации устройства или использования специальных возможностей. Все это делается без осознания или вмешательства пользователя. Чтобы избежать обнаружения, он использует много методов, таких как обфускация, шифрование данных и вызов динамического кода.
Приложения Camero и FileCrypt Manger действуют как капельницы. После загрузки дополнительного DEX-файла с C & C-сервера пипетки второго уровня вызывают дополнительный код для загрузки, установки и запуска приложения callCam на устройстве.
Рисунок 4. Двухэтапное развертывание полезной нагрузки
Рисунок 5. Код, показывающий, как дроппер вызывает дополнительный код DEX
Чтобы развернуть приложение CallCam с полезной нагрузкой на устройстве без ведома пользователя, SideWinder выполняет следующие действия:
1. Корень устройства.
Этот подход выполняется приложением-капельницей Camero и работает только в Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), и устройства Redmi 6A. Вредоносная программа извлекает определенный эксплойт с сервера C & C в зависимости от DEX, загруженного дроппером.
Рисунок 6. Фрагмент кода из Extra DEX, загруженный Camero
Мы смогли загрузить пять эксплойтов с сервера C & C во время нашего расследования. Они используют уязвимости CVE-2019-2215 и MediaTek-SU для получения привилегий root.
Рисунок 7. Эксплойт CVE-2019-2215
Рисунок 8. Эксплойт MediaTek-SU
После получения root-прав, вредоносная программа устанавливает приложение callCam, включает его разрешение на доступ и запускает его.
Рисунок 9. Команды установки приложения, запуска приложения и включения доступа
2. Использование Accessibility Permission
Этот подход используется приложением-диспетчером FileCrypt Manager и работает на большинстве типичных телефонов Android выше Android 1.6. После запуска приложение просит пользователя включить специальные возможности.
Рисунок 10. FileCrypt Manager
После предоставления приложение отображает полноэкранное окно, в котором говорится, что оно требует дальнейших действий по настройке. На самом деле это просто наложенный экран, который отображается поверх всех окон активности на устройстве. Окно наложения устанавливает свои атрибуты
Ссылка скрыта от гостей
и
Ссылка скрыта от гостей
, позволяя окнам активности обнаруживать и получать события касания пользователя через экран наложения.
Рисунок 11. Наложение экрана
Между тем, приложение вызывает код из дополнительного файла DEX, чтобы разрешить установку неизвестных приложений и установку приложения CallCam с полезной нагрузкой. Он также включает разрешение специальных возможностей приложения полезной нагрузки, а затем запускает приложение полезной нагрузки. Все это происходит за наложенным экраном, без ведома пользователя. И все эти шаги выполняются с помощью Accessibility.
Ссылка скрыта от гостей
Рисунок 12. Код, позволяющий установить неизвестные приложения и новый APK
Рисунок 13. Код включения разрешения доступа для недавно установленного приложения
Видео ниже демонстрирует развертывание полезной нагрузки через CVE-2019-2215 на Pixel 2:
Деятельность callCam
Приложение callCam скрывает свой значок на устройстве после запуска. Он собирает следующую информацию и отправляет ее обратно на сервер C & C в фоновом режиме:
- Место расположения
- Заряд батареи
- Файлы на устройстве
- Список установленных приложений
- Информация об устройстве
- Информация о датчике
- Информация о камере
- Скриншот
- учетная запись
- Информация Wi-Fi
- Данные WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail и Chrome
Рисунок 14. Процесс шифрования данных
Рисунок 15. Настроенная процедура кодирования выполнена
Отношение к SideWinder
Эти приложения могут быть отнесены к SideWinder, так как используемые им
Ссылка скрыта от гостей
. Кроме того, URL, ссылающийся на одну из страниц Google Play в приложениях, также находится на одном из серверов C & C.
Рисунок 16. Google Play URL-адрес приложения FileManager, обнаруженного на одном из серверов C & C.
Источник:
Ссылка скрыта от гостей