„Троянски кон“ за Android е отговорен за кражбата на милиони от над 10 милиона потребители

С нарастващото използване на мобилни устройства в ежедневието ни, ориентирането на киберпрестъпниците към тези устройства за финансови престъпления не е изненада. Zimperium zLabs наскоро откри измамна схема за мобилни платени услуги с над 10 милиона жертви в световен мащаб, а откраднатата сума може би достига стотици милиони евро. Докато типичните измами с премиум (или платени) услуги се базират на phishing техниките, тази специфична глобална измама се е дегизирала в „злонамерени“ приложения за Android, действащи като троянски кон. Така мащабите на разпространението на атаката са огромни.

Тези „злонамерени“ приложения за Android и списъкът на поисканите от тях разрешения изглеждат безобидно в Play Store, но това се променя, когато в последствие потребителите бъдат таксувани месец след месец за платена услуга, за която са абонирани без тяхното знание и съгласие.

Доказателствата на компания Zimperium zLabs  за тази атака на Android, именувана от тях GriftHorse, сочат, че тя се разпространява от ноември 2020 г. Първоначално тези „злонамерени“ приложения са били разпространявани както в Google Play, така и в магазини за приложения на трети страни. След сигнала, Google проверява предоставената информация и премахва приложенията от магазина на Google Play. Въпреки това, те все още са налични в незащитени магазини за приложения на трети страни.

Какво може да направи троянецът за Android – GriftHorse?

Инфектираното със злонамерен код приложение представлява заплаха за всички устройства с Android, като абонира нищо неподозиращите потребители за платени услуги, и начислява месечни сметки в размер на около 36 евро.

Атаката е насочена към милиони потребители от над 70 държави, като се избират „злонамерени“ приложения за потребителите въз основа на геолокация, IP адрес, език. Този трик за социално инженерство е изключително успешен, като се има предвид, че потребителите се чувстват далеч по-сигурни да споделят информация в приложение или уебсайт на техния език.

При заразяване, жертвата е бомбардирана с предупреждения на екрана за спечелена награда и възможността да я получи незабавно. Тези „изскачащи“ прозорци се появяват отново и отново – не по-малко от пет пъти на час, докато потребителят на приложението успешно приеме офертата. След като приеме поканата да получи спечелената награда, злонамереният софтуер пренасочва жертвата към специфична за географското местоположение уеб страница, на която се изисква да попълни своите телефонни номера за проверка. Но в действителност данните се изпращат за абонамент към платена SMS услуга, която увеличава размера на телефонната сметка с над 30 евро месечно. Жертвата не забелязва ефекта от „кражбата“ веднага, и така вероятността тя да продължи месеци преди разкриването и е висока, като да се стигне до процедура на възстановяване на средствата е малко вероятно.

Киберпрестъпниците са изключително изобретателни в усилията си да не бъдат разкрити от службите по кибербезопасност, като избягват кодирани URL адреси , повторно използване на домейни и др. Като цяло GriftHorse Android Trojan се възползва от устройствата с малки екрани, доверието на потребителите в местните приложения и доза дезинформация, за да подмами потребителите да изтеглят и инсталират тези приложения.

Как работи GriftHorse Android?

Вирусните програми са разработени с помощта на фреймуърк, наречен Apache Cordova. Cordova позволява на разработчиците да използват стандартни уеб технологии – HTML5, CSS3 и JavaScript за cross-платформени разработки. Тази технология позволява на разработчиците да внедряват актуализации в приложенията, без да се изисква от потребителя ръчен ъпдейт. Въпреки че Cordova цели по-добро потребителско изживяване и сигурност, технологията може да бъде използвана за хостване на зловредния код на сървъра и разработване на приложение, което да изпълнява този код в реално време. Приложението ще се визуализира като уеб страница, с нейните HTML, CSS, JavaScript и изображения.

• При инсталиране и стартиране на приложението, кодираните файлове, съхранявани в папката „assets/www“ на APK, се декриптират с помощта на „AES/CBC/PKCS5Padding“. След разкодирането файлът index.html се зарежда с помощта на класа WebView.
• Изходният код на основната функционалност се намира във файла js/index.js, който активира функцията onDeviceReady, която добавя „Google Advertising ID (AAID) за устройства с Android“ към appConf. Структурата на данните appConf е попълнена с AppsFlyerUID, събрана след инициализиране на AppsFlyer (плъгинът React Native AppsFlyer) с помощта на devKey. След извършване на необходимите проверки, управлението на програмата се дава на GetData ().
• Функцията GetData () обработва комуникацията между приложението и C&C сървъра, като криптира HTTP POST заявка със стойността на appConf.
• Полученият криптиран отговор се декриптира с помощта на AES за събиране на втори етап C&C URL и изпълнява GET заявка, използвайки InAppBrowser на Cordova.
• Конфигурацията за изпращане на „измамните“ известия се получава в отговора и се показва пет пъти на всеки един час. Целта на това повтарящо се известие е да привлече вниманието на потребителя и той да активира приложението.
• Домейнът C&C от втория етап винаги е един и същ, независимо от приложението или геолокацията на жертвата, а GET заявката към този сървър навигира браузъра към URL адреса на третия етап.
• URL адресът на третия етап визуализира последната страница  – с исканата информация за телефонен номер на жертвата, като в последствие я абонира за различни платени услуги и тарифни планове.

Има два „варианта“ на атака, които се различават по взаимодействието с жертвата:

• Първи вариант: Визуализира се бутон „Продължи“ или „Натиснете“, кликването върху който инициира изпращане на SMS, като този URI стринг се парсва.

Пример: „sms: 1252? Body = TREND frcql1sm“.

• Втори вариант: Изисква се телефонният номер на жертвата да бъде въведен, и регистриран в back-end-а на сървъра. След това процесите са същите като в първия вариант.

Взаимодействието между уеб страниците и функциите в приложението се улеснява от JavaScript интерфейса, който позволява на JavaScript кода в страницата да задейства процеси в кода на приложението. Те могат да включват и събиране на данни за устройството, включително IMEI и IMSI, и много други.