Zer0must2b
Green Team
- 23.06.2019
- 306
- 141
Мы нашли три вредоносных приложения в магазине Google Play, которые работают вместе, чтобы скомпрометировать устройство жертвы и собирать информацию о пользователях. Одно из этих приложений под названием Camero использует уязвимость CVE-2019-2215 , существующую в Binder (основной системе межпроцессного взаимодействия в Android). Это первая известная активная атака, использующая уязвимость . Интересно, что после дальнейшего расследования мы также обнаружили, что эти три приложения, вероятно, будут частью арсенала группы участников угрозы SideWinder. SideWinder, группа, которая действует с 2012 года, представляет собой угрозу и, как сообщается, нацелена на компьютеры Windows, принадлежащие военным организациям .
Три вредоносных приложения были замаскированы под инструменты для работы с фотографиями и файловыми менеджерами. Мы предполагаем, что эти приложения были активны с марта 2019 года на основании информации о сертификате одного из приложений. С тех пор приложения были удалены из Google Play.
Рисунок 1. Три приложения, связанные с группой SideWinder
Рисунок 2. Информация о сертификате одного из приложений
Установка
SideWinder устанавливает приложение с полезной нагрузкой в два этапа. Сначала он загружает файл DEX (формат файла Android) со своего сервера управления и контроля (C & C). Мы обнаружили, что в группе используется отслеживание конверсий приложений для настройки адреса сервера C & C. Адрес был закодирован Base64, а затем установлен в качестве параметра referrer в URL-адресе, используемом при распространении вредоносного ПО.
Рисунок 3. Разобранный адрес C & C-сервера
После этого шага загруженный файл DEX загружает файл APK и устанавливает его после эксплуатации устройства или использования специальных возможностей. Все это делается без осознания или вмешательства пользователя. Чтобы избежать обнаружения, он использует много методов, таких как обфускация, шифрование данных и вызов динамического кода.
Приложения Camero и FileCrypt Manger действуют как капельницы. После загрузки дополнительного DEX-файла с C & C-сервера пипетки второго уровня вызывают дополнительный код для загрузки, установки и запуска приложения callCam на устройстве.
Рисунок 4. Двухэтапное развертывание полезной нагрузки
Рисунок 5. Код, показывающий, как дроппер вызывает дополнительный код DEX
Чтобы развернуть приложение CallCam с полезной нагрузкой на устройстве без ведома пользователя, SideWinder выполняет следующие действия:
1. Корень устройства.
Этот подход выполняется приложением-капельницей Camero и работает только в Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), и устройства Redmi 6A. Вредоносная программа извлекает определенный эксплойт с сервера C & C в зависимости от DEX, загруженного дроппером.
Рисунок 6. Фрагмент кода из Extra DEX, загруженный Camero
Мы смогли загрузить пять эксплойтов с сервера C & C во время нашего расследования. Они используют уязвимости CVE-2019-2215 и MediaTek-SU для получения привилегий root.
Рисунок 7. Эксплойт CVE-2019-2215
Рисунок 8. Эксплойт MediaTek-SU
После получения root-прав, вредоносная программа устанавливает приложение callCam, включает его разрешение на доступ и запускает его.
Рисунок 9. Команды установки приложения, запуска приложения и включения доступа
2. Использование Accessibility Permission
Этот подход используется приложением-диспетчером FileCrypt Manager и работает на большинстве типичных телефонов Android выше Android 1.6. После запуска приложение просит пользователя включить специальные возможности.
Рисунок 10. FileCrypt Manager
После предоставления приложение отображает полноэкранное окно, в котором говорится, что оно требует дальнейших действий по настройке. На самом деле это просто наложенный экран, который отображается поверх всех окон активности на устройстве. Окно наложения устанавливает свои атрибуты FLAG_NOT_FOCUSABLE и FLAG_NOT_TOUCHABLE , позволяя окнам активности обнаруживать и получать события касания пользователя через экран наложения.
Рисунок 11. Наложение экрана
Между тем, приложение вызывает код из дополнительного файла DEX, чтобы разрешить установку неизвестных приложений и установку приложения CallCam с полезной нагрузкой. Он также включает разрешение специальных возможностей приложения полезной нагрузки, а затем запускает приложение полезной нагрузки. Все это происходит за наложенным экраном, без ведома пользователя. И все эти шаги выполняются с помощью Accessibility.
https://blog.trendmicro.com/trendlabs-security-intelligence/files/2020/01/Fig-12.png
Рисунок 12. Код, позволяющий установить неизвестные приложения и новый APK
Рисунок 13. Код включения разрешения доступа для недавно установленного приложения
Видео ниже демонстрирует развертывание полезной нагрузки через CVE-2019-2215 на Pixel 2:
Деятельность callCam
Приложение callCam скрывает свой значок на устройстве после запуска. Он собирает следующую информацию и отправляет ее обратно на сервер C & C в фоновом режиме:
Рисунок 14. Процесс шифрования данных
Рисунок 15. Настроенная процедура кодирования выполнена
Отношение к SideWinder
Эти приложения могут быть отнесены к SideWinder, так как используемые им C & C-серверы предположительно являются частью инфраструктуры SideWinder . Кроме того, URL, ссылающийся на одну из страниц Google Play в приложениях, также находится на одном из серверов C & C.
Рисунок 16. Google Play URL-адрес приложения FileManager, обнаруженного на одном из серверов C & C.
Источник:First Active Attack Exploiting CVE-2019-2215 Found on Google Play, Linked to SideWinder APT Group - TrendLabs Security Intelligence Blog
Три вредоносных приложения были замаскированы под инструменты для работы с фотографиями и файловыми менеджерами. Мы предполагаем, что эти приложения были активны с марта 2019 года на основании информации о сертификате одного из приложений. С тех пор приложения были удалены из Google Play.
Рисунок 1. Три приложения, связанные с группой SideWinder
Рисунок 2. Информация о сертификате одного из приложений
Установка
SideWinder устанавливает приложение с полезной нагрузкой в два этапа. Сначала он загружает файл DEX (формат файла Android) со своего сервера управления и контроля (C & C). Мы обнаружили, что в группе используется отслеживание конверсий приложений для настройки адреса сервера C & C. Адрес был закодирован Base64, а затем установлен в качестве параметра referrer в URL-адресе, используемом при распространении вредоносного ПО.
Рисунок 3. Разобранный адрес C & C-сервера
После этого шага загруженный файл DEX загружает файл APK и устанавливает его после эксплуатации устройства или использования специальных возможностей. Все это делается без осознания или вмешательства пользователя. Чтобы избежать обнаружения, он использует много методов, таких как обфускация, шифрование данных и вызов динамического кода.
Приложения Camero и FileCrypt Manger действуют как капельницы. После загрузки дополнительного DEX-файла с C & C-сервера пипетки второго уровня вызывают дополнительный код для загрузки, установки и запуска приложения callCam на устройстве.
Рисунок 4. Двухэтапное развертывание полезной нагрузки
Рисунок 5. Код, показывающий, как дроппер вызывает дополнительный код DEX
Чтобы развернуть приложение CallCam с полезной нагрузкой на устройстве без ведома пользователя, SideWinder выполняет следующие действия:
1. Корень устройства.
Этот подход выполняется приложением-капельницей Camero и работает только в Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), и устройства Redmi 6A. Вредоносная программа извлекает определенный эксплойт с сервера C & C в зависимости от DEX, загруженного дроппером.
Рисунок 6. Фрагмент кода из Extra DEX, загруженный Camero
Мы смогли загрузить пять эксплойтов с сервера C & C во время нашего расследования. Они используют уязвимости CVE-2019-2215 и MediaTek-SU для получения привилегий root.
Рисунок 7. Эксплойт CVE-2019-2215
Рисунок 8. Эксплойт MediaTek-SU
После получения root-прав, вредоносная программа устанавливает приложение callCam, включает его разрешение на доступ и запускает его.
Рисунок 9. Команды установки приложения, запуска приложения и включения доступа
2. Использование Accessibility Permission
Этот подход используется приложением-диспетчером FileCrypt Manager и работает на большинстве типичных телефонов Android выше Android 1.6. После запуска приложение просит пользователя включить специальные возможности.
Рисунок 10. FileCrypt Manager
После предоставления приложение отображает полноэкранное окно, в котором говорится, что оно требует дальнейших действий по настройке. На самом деле это просто наложенный экран, который отображается поверх всех окон активности на устройстве. Окно наложения устанавливает свои атрибуты FLAG_NOT_FOCUSABLE и FLAG_NOT_TOUCHABLE , позволяя окнам активности обнаруживать и получать события касания пользователя через экран наложения.
Рисунок 11. Наложение экрана
Между тем, приложение вызывает код из дополнительного файла DEX, чтобы разрешить установку неизвестных приложений и установку приложения CallCam с полезной нагрузкой. Он также включает разрешение специальных возможностей приложения полезной нагрузки, а затем запускает приложение полезной нагрузки. Все это происходит за наложенным экраном, без ведома пользователя. И все эти шаги выполняются с помощью Accessibility.
https://blog.trendmicro.com/trendlabs-security-intelligence/files/2020/01/Fig-12.png
Рисунок 12. Код, позволяющий установить неизвестные приложения и новый APK
Рисунок 13. Код включения разрешения доступа для недавно установленного приложения
Видео ниже демонстрирует развертывание полезной нагрузки через CVE-2019-2215 на Pixel 2:
Деятельность callCam
Приложение callCam скрывает свой значок на устройстве после запуска. Он собирает следующую информацию и отправляет ее обратно на сервер C & C в фоновом режиме:
- Место расположения
- Заряд батареи
- Файлы на устройстве
- Список установленных приложений
- Информация об устройстве
- Информация о датчике
- Информация о камере
- Скриншот
- учетная запись
- Информация Wi-Fi
- Данные WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail и Chrome
Рисунок 14. Процесс шифрования данных
Рисунок 15. Настроенная процедура кодирования выполнена
Отношение к SideWinder
Эти приложения могут быть отнесены к SideWinder, так как используемые им C & C-серверы предположительно являются частью инфраструктуры SideWinder . Кроме того, URL, ссылающийся на одну из страниц Google Play в приложениях, также находится на одном из серверов C & C.
Рисунок 16. Google Play URL-адрес приложения FileManager, обнаруженного на одном из серверов C & C.
Источник:First Active Attack Exploiting CVE-2019-2215 Found on Google Play, Linked to SideWinder APT Group - TrendLabs Security Intelligence Blog
