Qualche settimana fa, i ricercatori di Zimperium zLabs avevano rivelato configurazioni cloud non protette che esponevano informazioni in migliaia di app iOS e Android legittime. Questa settimana, zLabs avvisa gli utenti Android di una nuova e sofisticata app dannosa.

Il nuovo malware si maschera come un’applicazione di aggiornamento del sistema ma ruba dati, messaggi e immagini prendendo il controllo dei telefoni Android. Una volta che hanno il controllo, gli hacker possono registrare audio e telefonate, scattare foto, rivedere la cronologia del browser, accedere ai messaggi di WhatsApp e altro.

L’app “System Update” è stata identificata a seguito di un’indagine in cui è stato scoperto che si trattava di una sofisticata campagna spyware con funzionalità complesse. È stato anche confermato con Google che l’app non era e non è mai stata su Google Play.

Cosa può fare il malware?

L’applicazione mobile rappresenta una minaccia per i dispositivi Android funzionando come un Trojan di accesso remoto (RAT) che riceve ed esegue comandi per raccogliere ed esfiltrare un’ampia gamma di dati ed eseguire un’ampia gamma di azioni dannose, come:

  • Rubare messaggi di messaggistica istantanea;
  • Rubare file di database di messaggistica istantanea (se il root è disponibile);
  • Ispezione dei segnalibri e delle ricerche del browser predefinito;
  • Ispezione del segnalibro e della cronologia delle ricerche da Google Chrome, Mozilla Firefox e Samsung Internet Browser;
  • Ricerca di file con estensioni specifiche (inclusi .pdf, .doc, .docx e .xls, .xlsx);
  • Ispezione dei dati degli appunti;
  • Ispezionare il contenuto delle notifiche;
  • Registrazione audio;
  • Registrazione di telefonate;
  • Scatta periodicamente foto (tramite la fotocamera anteriore o posteriore);
  • Elenco delle applicazioni installate;
  • Rubare immagini e video;
  • Monitorare la posizione GPS;
  • Rubare messaggi SMS;
  • Rubare contatti telefonici;
  • Rubare i registri delle chiamate;
  • Esfiltrazione di informazioni sul dispositivo (ad es. Applicazioni installate, nome del dispositivo, statistiche di archiviazione); e
  • Nascondere la sua presenza nascondendo l’icona dal drawer / menu del dispositivo.

Come funziona il malware?

Al momento dell’installazione (da un market di terze parti, non Google Play Store), il dispositivo viene registrato con Firebase Command and Control (C&C) con dettagli come la presenza o l’assenza di WhatsApp, la percentuale della batteria, le statistiche di archiviazione, il token ricevuto dal Servizio di messaggistica Firebase e tipo di connessione Internet.

Le opzioni per aggiornare le informazioni sul dispositivo citate esistono come “update” e “refreshAllData”, con la differenza che, in “update”, le sole informazioni sul dispositivo vengono raccolte e inviate a C&C, mentre in “refreshAllData” viene anche aggiunto un nuovo token Firebase generato ed esfiltrato.

La funzionalità dello spyware e l’esfiltrazione dei dati vengono attivate in più condizioni, come l’aggiunta di un nuovo contatto, la ricezione di un nuovo SMS o l’installazione di una nuova applicazione utilizzando i ricevitori ContentObserver e Broadcast di Android .

I comandi ricevuti tramite il servizio di messaggistica Firebase avviano azioni come la registrazione dell’audio dal microfono e l’esfiltrazione di dati come i messaggi SMS. La comunicazione Firebase viene utilizzata solo per emettere i comandi e un server C&C dedicato viene utilizzato per raccogliere i dati rubati utilizzando una richiesta POST.

Figura 1: codice per analizzare ed eseguire i comandi da Firebase C&C (fare riferimento a IOC)

Lo spyware cerca qualsiasi attività di interesse, come una telefonata, per registrare immediatamente la conversazione, raccogliere il registro delle chiamate aggiornato e quindi caricare i contenuti sul server C&C come file ZIP crittografato. Determinato a non lasciare tracce delle sue azioni dannose, lo spyware elimina i file non appena riceve una risposta di “successo” dal server C&C dopo aver ricevuto con successo i file caricati.

Figura 2: dichiarazione del ricevitore di trasmissione in AndroidManifest.xml

I dati raccolti sono organizzati in diverse cartelle all’interno dell’archivio privato dello spyware, situato in: “/ data / data / com.update.system.important / files / files / system / FOLDER_NAME” dove “FOLDER_NAME” è specificato come mostrato nella immagine seguente.

Figura 3: nomi delle cartelle per l’archiviazione dei dati rubati nella directory privata dell’app

Insieme al comando “re” per registrare l’audio dal microfono, i parametri ricevuti sono “from_time” e “to_time”, utilizzati per pianificare un lavoro OneTimeWorkRequest per eseguire l’attività dannosa prevista. Tale utilizzo della pianificazione del lavoro può essere influenzato dalle ottimizzazioni della batteria applicate alle applicazioni dal sistema operativo Android, per cui lo spyware richiede il permesso di ignorare le ottimizzazioni della batteria e il funzionamento senza ostacoli.

Figura 4: pianificazione di un lavoro utilizzando i parametri da Firebase C&C

Figura 5: codice per impedire l’ottimizzazione della batteria nell’applicazione spyware

Essendo molto preoccupato per la freschezza dei dati, lo spyware non utilizza i dati raccolti prima di un periodo prestabilito.

Ad esempio, i dati sulla posizione vengono raccolti dal GPS o dalla rete (a seconda di quale sia il più recente) e se questo valore più recente è passato più di 5 minuti, decide di raccogliere e memorizzare nuovamente i dati sulla posizione. Lo stesso vale per le foto scattate utilizzando la fotocamera del dispositivo e il valore è impostato su 40 minuti.

Figura 6: codice per acquisire un’immagine utilizzando la fotocamera se l’ultima è stata scattata almeno 40 minuti fa

Lo spyware abusa dei servizi di accessibilità del dispositivo (ottenuti dall’ingegneria sociale chiedendo agli utenti di abilitare i servizi di accessibilità) per raccogliere conversazioni e dettagli dei messaggi da WhatsApp raschiando il contenuto sullo schermo dopo aver rilevato che il nome del pacchetto della finestra superiore corrisponde a WhatsApp (“com. WhatsApp”). I dati raccolti vengono archiviati all’interno di un database SQLite con un modello, come si vede nelle immagini sottostanti.

Figura 7: I modelli di database per la memorizzazione dei dati da Whatsapp

Oltre a raccogliere i messaggi utilizzando i servizi di accessibilità, se è disponibile l’accesso come root, lo spyware ruba i file del database di WhatsApp copiandoli dall’archivio privato di WhatsApp.

Figura 8: i sei file che vengono copiati dal database di WhatsApp se il root è disponibile

Lo spyware ruba attivamente i dati degli appunti registrando gli ascoltatori degli appunti nello stesso modo in cui spia SMS, posizione GPS, contatti, registri delle chiamate e notifiche. Gli ascoltatori, gli osservatori e gli intenti trasmessi vengono utilizzati per attivare azioni come la registrazione di una telefonata e la raccolta delle miniature delle immagini / video appena acquisite dalla vittima.

Figura 9: codice per rubare i dati dagli appunti

Nella memoria del dispositivo Android vengono cercati file di dimensioni inferiori a 30 MB e aventi estensioni di file dall’elenco dei tipi “interessanti” (.pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx) da copiare nel directory privata dell’applicazione e crittografata come cartella prima dell’esfiltrazione nel server C&C.

Figura 10: codice per la ricerca di file con estensioni e dimensioni specifiche inferiori a 30 MB

Una capacità aggressiva dello spyware è quella di accedere e rubare i contenuti memorizzati nella cache e archiviati nella memoria esterna. Nel tentativo di non esfiltrare tutte le immagini / video, che di solito possono essere abbastanza grandi, lo spyware ruba le miniature che sono di dimensioni molto più piccole. Ciò ridurrebbe anche in modo significativo il consumo di larghezza di banda ed eviterebbe di mostrare alcun segno di esfiltrazione di dati su Internet (aiutando a eludere il rilevamento). Quando la vittima utilizza il Wi-Fi, tutti i dati rubati da tutte le cartelle vengono inviati a C&C, mentre quando la vittima utilizza una connessione dati mobile, viene inviato a C&C solo uno specifico set di dati, come mostrato nella Figura 12 .

Figure 11, 12: il codice per raccogliere le miniature e creare un elenco di cartelle da caricare da una connessione dati mobile

Oltre ai vari tipi di dati personali rubati alla vittima, lo spyware vuole più dati privati ​​come i segnalibri della vittima e la cronologia delle ricerche da browser popolari come Google Chrome, Mozilla Firefox e il browser Internet Samsung.

Figura 13: i fornitori di contenuti per interrogare i segnalibri e le ricerche effettuate dalla vittima

Per identificare il nome del dispositivo della vittima, lo spyware cerca di confrontare le informazioni raccolte da “Build.DEVICE” e “Build.MODEL” del dispositivo con un elenco di valori hardcoded pari a un totale di 112 nomi di dispositivi come mostrato di seguito.

Figura 14: frammento di codice per identificare il dispositivo mediante la corrispondenza con un elenco di 112 dispositivi

Lo spyware crea una notifica se lo schermo del dispositivo è spento quando riceve un comando utilizzando il servizio di messaggistica Firebase, come mostrato nelle immagini seguenti. La ” Ricerca aggiornamento in corso … ” non è una notifica legittima dal sistema operativo, ma lo spyware.

Figure 15, 16: Notifica falsa e comunicazione con il server C&C

Lo spyware è in grado di eseguire un’ampia gamma di attività dannose per spiare la vittima fingendosi un’applicazione di “aggiornamento del sistema”. Presenta una funzionalità raramente vista prima, rubando miniature di video e immagini, oltre all’utilizzo di una combinazione di Firebase e un server Command & Control dedicato per la ricezione di comandi ed esfiltrazione dei dati.

IOC

Applicazioni spyware:

96de80ed5ff6ac9faa1b3a2b0d67cee8259fda9f6ad79841c341b1c3087e4c92

6301e2673e7495ebdfd34fe51792e97c0ac01221a53219424973d851e7a2ac93

Server C&C:

hxxps://mypro-b3435.firebaseio.com

hxxps://licences.website/backendNew/public/api/

 

Maggiori info su https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE