Мы нашли 3 вредоносных приложения в магазине Google Play, которые работают вместе, чтобы скомпрометировать устройство жертвы и собирать информацию о пользователях. Одно из этих приложений под названием Camero использует уязвимость CVE-2019-2215, существующую в Binder (основной системе межпроцессного взаимодействия в Android). Это первая известная активная атака, использующая уязвимость use-after-free. Интересно, что после дальнейшего расследования мы также обнаружили, что эти три приложения, вероятно, будут частью арсенала APT группы SideWinder. SideWinder, группа, которая действует с 2012 года, представляет собой угрозу уже давно и, как сообщается, занимается взломом Windows-компьютеров военных организаций.
Три вредоносных приложения были замаскированы под инструменты управления фотографиями и файлами. Мы предполагаем, что эти приложения были активны с марта 2019 года (вывод на основании информации о сертификате одного из приложений). С тех пор приложения были удалены из Google Play.
Рисунок 1. Три приложения, связанные с группой SideWinder
Рисунок 2. Информация о сертификате одного из приложений
Установка
SideWinder устанавливает приложение с payload'ом в два этапа. Сначала он загружает файл DEX (формат файла Android) со своего C&C сервера. Мы обнаружили, что группа использует отслеживание конверсий приложений для настройки адреса сервера C&C. Адрес был закодирован Base64, а затем в параметре URL, который использовался при распространении вредоносного ПО, был установлен параметр referrer.
Рисунок 3. Разобранный адрес C & C-сервера
После этого шага загруженный файл DEX загружает файл APK и устанавливает его после использования устройства или использования специальных возможностей. Все это делается без вмешательства пользователя. Чтобы избежать обнаружения, он использует много методов, таких как обфускация, шифрование данных и вызов динамического кода.
Приложения Camero и FileCrypt Manger действуют как дропперы. После загрузки дополнительного DEX-файла с C&C сервера, дропперы второго уровня вызывают дополнительный код для загрузки, установки и запуска приложения callCam на устройстве.
Рисунок 4. Двухэтапное развертывание полезной нагрузки
Рисунок 5. Код, показывающий, как дроппер вызывает дополнительный код DEX
Чтобы развернуть приложение CallCam с полезной нагрузкой на устройстве без ведома пользователя, SideWinder выполняет следующие действия:
1. Рутание устройства
Этот подход реализован в приложении-дроппере Camero и работает только с Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), и устройства Redmi 6A. Вредоносная программа извлекает определенный эксплойт с сервера C&C в зависимости от DEX, загруженного дроппером.
Рисунок 6. Фрагмент кода из Extra DEX, загруженный Camero
Мы смогли загрузить 5 эксплойтов с сервера C&C во время нашего расследования.
Они используют уязвимости CVE-2019-2215 и MediaTek-SU для получения привилегий root.
Рисунок 7. Эксплойт CVE-2019-2215
Рисунок 8. Эксплойт MediaTek-SU
После получения привилегии root, вредоносная программа устанавливает приложение callCam, активирует разрешение на доступ и запускает его.
Рисунок 9. Команды устанавливают приложение, запускают приложение и включают доступность
2. Использование Accessibility Permission
Этот подход используется дроппером FileCrypt Manager и работает на большинстве типичных телефонов Android выше Android 1.6. После запуска приложение просит пользователя включить специальные возможности.
Рисунок 10. Шаги, которые предлагает сделать пользователю FileCrypt Manager
После предоставления приложение отображает полноэкранное окно с сообщением о том, что оно требует дальнейших действий по настройке. На самом деле это просто наложенный экран, который отображается поверх всех окон активности на устройстве. Оверлейное окно устанавливает свои атрибуты FLAG_NOT_FOCUSABLE и FLAG_NOT_TOUCHABLE , позволяя окнам активности обнаруживать и получать сенсорные события пользователей через оверлейный экран.
Рисунок 11. Наложение экрана
Между тем, приложение вызывает код из дополнительного файла DEX, чтобы включить установку неизвестных приложений и установку приложения CallCam с полезной нагрузкой. Он также включает разрешение специальных возможностей приложения полезной нагрузки, а затем запускает приложение полезной нагрузки. Все это происходит за наложенным экраном, без ведома пользователя. И все эти шаги выполняются с помощью Accessibility.
Рисунок 12. Код, позволяющий установить неизвестные приложения и новый APK
Рисунок 13. Код включения разрешения доступа для недавно установленного приложения
Видео ниже демонстрирует развертывание payload'a через CVE-2019-2215 на Pixel 2:
Активность callCam
Приложение callCam скрывает свой значок на устройстве после запуска. Он собирает следующую информацию и отправляет ее обратно на сервер C&C в фоновом режиме:
Рисунок 14. Процесс шифрования данных
Рисунок 15. Индивидуальная процедура кодирования выполнена
Отношение к SideWinder
Эти приложения могут быть отнесены к SideWinder, так как используемые им C&C серверы являются частью инфраструктуры SideWinder. Кроме того, URL, ссылающийся на одну из страниц приложения Google Play, также находится на одном из серверов C&C.
Рисунок 16. Google Play URL приложения FileManager, найденного на одном из серверов C&C.
C&C Servers
оригинальная заметка
авторы Ecular Xu и Joseph C Chen
Перевод: tabac, специально для https://xss.pro
Три вредоносных приложения были замаскированы под инструменты управления фотографиями и файлами. Мы предполагаем, что эти приложения были активны с марта 2019 года (вывод на основании информации о сертификате одного из приложений). С тех пор приложения были удалены из Google Play.
Рисунок 1. Три приложения, связанные с группой SideWinder
Рисунок 2. Информация о сертификате одного из приложений
Установка
SideWinder устанавливает приложение с payload'ом в два этапа. Сначала он загружает файл DEX (формат файла Android) со своего C&C сервера. Мы обнаружили, что группа использует отслеживание конверсий приложений для настройки адреса сервера C&C. Адрес был закодирован Base64, а затем в параметре URL, который использовался при распространении вредоносного ПО, был установлен параметр referrer.
Рисунок 3. Разобранный адрес C & C-сервера
После этого шага загруженный файл DEX загружает файл APK и устанавливает его после использования устройства или использования специальных возможностей. Все это делается без вмешательства пользователя. Чтобы избежать обнаружения, он использует много методов, таких как обфускация, шифрование данных и вызов динамического кода.
Приложения Camero и FileCrypt Manger действуют как дропперы. После загрузки дополнительного DEX-файла с C&C сервера, дропперы второго уровня вызывают дополнительный код для загрузки, установки и запуска приложения callCam на устройстве.
Рисунок 4. Двухэтапное развертывание полезной нагрузки
Рисунок 5. Код, показывающий, как дроппер вызывает дополнительный код DEX
Чтобы развернуть приложение CallCam с полезной нагрузкой на устройстве без ведома пользователя, SideWinder выполняет следующие действия:
1. Рутание устройства
Этот подход реализован в приложении-дроппере Camero и работает только с Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), и устройства Redmi 6A. Вредоносная программа извлекает определенный эксплойт с сервера C&C в зависимости от DEX, загруженного дроппером.
Рисунок 6. Фрагмент кода из Extra DEX, загруженный Camero
Мы смогли загрузить 5 эксплойтов с сервера C&C во время нашего расследования.
Они используют уязвимости CVE-2019-2215 и MediaTek-SU для получения привилегий root.
Рисунок 7. Эксплойт CVE-2019-2215
Рисунок 8. Эксплойт MediaTek-SU
После получения привилегии root, вредоносная программа устанавливает приложение callCam, активирует разрешение на доступ и запускает его.
Рисунок 9. Команды устанавливают приложение, запускают приложение и включают доступность
2. Использование Accessibility Permission
Этот подход используется дроппером FileCrypt Manager и работает на большинстве типичных телефонов Android выше Android 1.6. После запуска приложение просит пользователя включить специальные возможности.
Рисунок 10. Шаги, которые предлагает сделать пользователю FileCrypt Manager
После предоставления приложение отображает полноэкранное окно с сообщением о том, что оно требует дальнейших действий по настройке. На самом деле это просто наложенный экран, который отображается поверх всех окон активности на устройстве. Оверлейное окно устанавливает свои атрибуты FLAG_NOT_FOCUSABLE и FLAG_NOT_TOUCHABLE , позволяя окнам активности обнаруживать и получать сенсорные события пользователей через оверлейный экран.
Рисунок 11. Наложение экрана
Между тем, приложение вызывает код из дополнительного файла DEX, чтобы включить установку неизвестных приложений и установку приложения CallCam с полезной нагрузкой. Он также включает разрешение специальных возможностей приложения полезной нагрузки, а затем запускает приложение полезной нагрузки. Все это происходит за наложенным экраном, без ведома пользователя. И все эти шаги выполняются с помощью Accessibility.
Рисунок 12. Код, позволяющий установить неизвестные приложения и новый APK
Рисунок 13. Код включения разрешения доступа для недавно установленного приложения
Видео ниже демонстрирует развертывание payload'a через CVE-2019-2215 на Pixel 2:
Активность callCam
Приложение callCam скрывает свой значок на устройстве после запуска. Он собирает следующую информацию и отправляет ее обратно на сервер C&C в фоновом режиме:
- Место расположения
- Заряд батареи
- Файлы на устройстве
- Список установленных приложений
- Информация об устройстве
- Информация о датчике
- Информация о камере
- Скриншот
- учетная запись
- Информация Wi-Fi
- Данные WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail и Chrome
Рисунок 14. Процесс шифрования данных
Рисунок 15. Индивидуальная процедура кодирования выполнена
Отношение к SideWinder
Эти приложения могут быть отнесены к SideWinder, так как используемые им C&C серверы являются частью инфраструктуры SideWinder. Кроме того, URL, ссылающийся на одну из страниц приложения Google Play, также находится на одном из серверов C&C.
Рисунок 16. Google Play URL приложения FileManager, найденного на одном из серверов C&C.
C&C Servers
Код:
ms-ethics.net
deb-cn.net
ap1-acl.net
ms-db.net
aws-check.net
reawk.netоригинальная заметка
авторы Ecular Xu и Joseph C Chen
Перевод: tabac, специально для https://xss.pro
