Nowy, zaawansowany malware podszywa się pod aktualizację systemu Android

Jakie możliwości posiada malware?

Złośliwa aplikacja stanowi poważne zagrożenie dla urządzeń z systemem Android. Działa jako trojan zdalnego dostępu (RAT), który odbiera i wykonuje polecenia z serwerów C&C w celu gromadzenia i eksfiltracji szerokiego zakresu danych oraz wykonywania szeregu złośliwych działań, takich jak:

• Kradzież wiadomości z banerów i powiadomień,
• Kradzież plików baz danych komunikatorów internetowych,
• Sprawdzanie zakładek i wyszukiwań domyślnej przeglądarki,
• Sprawdzanie zakładek i historii wyszukiwania w Google Chrome, Mozilla Firefox i Samsung Internet Browser,
• Wyszukiwanie plików z określonymi rozszerzeniami (w tym .pdf, .doc, .docx i .xls, .xlsx),
• Sprawdzanie danych ze schowka,
• Sprawdzanie treści powiadomień,
• Nagrywanie dźwięku,
• Nagrywanie rozmów telefonicznych,
• Cykliczne wykonywanie zdjęć aparatem,
• Listowanie zainstalowanych aplikacji,
• Kradzież zdjęć i filmów,
• Monitorowanie lokalizacji GPS,
• Kradzież wiadomości SMS,
• Kradzież kontaktów telefonicznych,
• Kradzież dzienników połączeń,
• Wydobywanie informacji o urządzeniu (np. Zainstalowane aplikacje, nazwa urządzenia, statystyki pamięci),
• Ukrywanie swojej obecności poprzez ukrycie ikony w menu.

Jak działa malware?

Po instalacji złośliwej paczki z niezaufanego źródła, urządzenie zostaje zarejestrowane w Firebase Command and Control (C&C) ze szczegółami, takimi jak obecność lub brak WhatsApp, procent baterii, statystyki przechowywania, token otrzymany z usługę przesyłania wiadomości Firebase i typ połączenia internetowego.

Opcje aktualizacji wspomnianych informacji o urządzeniu istnieją jako „update” i „refreshAllData”, różnica polega na tym, że w przypadku „update” same informacje o urządzeniu są zbierane i wysyłane do C&C, podczas gdy w „refreshAllData” generowany jest również nowy token Firebase i dane są eksfiltrowane.

Funkcjonalność oprogramowania szpiegującego i eksfiltracja danych są wyzwalane w różnych sytuacjach, takich jak dodanie nowego kontaktu, odebranie nowego SMS-a lub zainstalowanie nowej aplikacji.

Polecenia otrzymane za pośrednictwem usługi przesyłania wiadomości Firebase inicjują działania, takie jak nagrywanie dźwięku z mikrofonu czy eksfiltracja wiadomości SMS. Komunikacja Firebase jest używana tylko do wydawania poleceń, a dedykowany serwer C&C służy do zbierania skradzionych danych za pomocą żądania POST.

Oprogramowanie szpiegowskie tworzy powiadomienie, gdy otrzyma polecenie za pomocą usługi komunikacyjnej Firebase. Pokazano to na poniższych ilustracjach. Komunikat „Searching for update…” nie jest uzasadnionym powiadomieniem systemu operacyjnego, lecz właśnie oprogramowaniem szpiegującym.

Malware może wykonywać szereg złośliwych działań w celu szpiegowania ofiary, udając aplikację „System Update”. Zawiera rzadko spotykaną wcześniej funkcję, kradnącą miniatury filmów i obrazów, a także wykorzystuje połączenie Firebase i dedykowanego serwera Command & Control do odbierania poleceń i eksfiltracji danych.

Poniżej przedstawiono nieprawdziwe powiadomienie systemowe oraz kod komunikacji z serwerem C&C:

Podsumowanie

Poniżej publikujemy IOC nowego złośliwego oprogramowania:

Aplikacje szpiegujące: 96de80ed5ff6ac9faa1b3a2b0d67cee8259fda9f6ad79841c341b1c3087e4c92 6301e2673e7495ebdfd34fe51792e97c0ac01221a53219424973d851e7a2ac93

Serwery C&C: hxxps://mypro-b3435.firebaseio.com hxxps://licences.website/backendNew/public/api/