Androidi kasutajad olid sihtmärgiks järjekordsele ekraanilukustusvõimega panganduse pahavarale, mis peitis ennast Google Play kaupluses taskulambi rakendusena. Erinevalt teistest kindlale pangandusrakenduste kogumile suunatud Trooja hobustest, on antud Trooja hobune võimeline enda funktsionaalsust dünaamiliselt kohandama.

Lisaks lubatud taskulambi funktsionaalsusele tuleb kaugjuhitav Trooja hobune koos erinevate lisafunktsioonidega, mis on suunatud ohvrite pangandusmandaatide varastamisele. Põhinedes C&C serverilt saadud käskudel, võib Trooja hobune kuvada võltsitud ekraane, mis imiteerivad legitiimseid rakendusi, lukustada nakatunud seadmed pettuse varjamiseks ning peatada SMSid ja kuvada valesid teatisi, et kaheastmelisest autentimisest läbi saada.

Pahavara suudab mõjutada kõik Androidi versioone. Tänu oma dünaamilisele iseloomule, ei pruugi rünnatavatele rakendustele piiri olla – pahavara hangib HTML-koodi vastavalt ohvri seadmes paigaldatud rakendustele ja kasutab koodi, et pärast rakenduste käivitamist rakendus võltsitud ekraanidega katta.

Trooja hobune, mille ESET tuvastas nime all Trojan.Android/Charger.B, laeti Google Play poodi üles 30. märtsil ja paigaldati kuni 5000 pahaaimamatu kasutaja poolt enne, kui see tänu ESET’i teavitusele 10. aprillil poest eemaldati.

FlashlightPilt 1 – Trooja hobune Google Play kaupluses

Kuidas see toimib?

Niipea, kui rakendus on paigaldatud ja käivitatud, nõuab see seadme administraatori õigusi. Android 6.0 kasutajad peavad lisaks ka käsitsi lubama kasutusjuurdepääsu ning teiste rakenduste katmise võime. Pärast õiguste ja lubade andmist peidab rakendus oma ikooni, olles seadmes ainult vidinana nähtav.

Tegelik andmekandevõime on krüpteeritud Google Play kauplusest installitud APK-faili, mistõttu on selle pahatahtlik funktsionaalsus avastamise eest kaitstud. Kood vabastatakse, dekrüpteeritakse ning käsud täidetakse siis, kui ohver rakenduse avab.

Trooja hobune registreerib esiteks nakatunud seadme ründajate serverisse. Lisaks seadme teabe ja salvestatud rakenduste loendile tutvub pahavara lähemalt ka oma ohvriga – selleks tarbeks lisatakse seadme omanikust esikaameraga tehtud pilt.

Kui saadud informatsioon näitab, et seade asub Venemaal, Ukrainas või Valgevenes, siis käsib C&C pahavaral oma tegevuse lõpetada – tõenäoliselt vältimaks ründajate üle kohtumõistmist nende kodumaal.

Tuginedes nakatunud seadmes olevatele rakendustele, saadab C&C vastava võltstegevuse pahatahtliku HTML-koodi vormis. HTML kuvatakse WebViews pärast seda, kui ohver ühe rünnatavatest rakendustest käivitab. Õige rakenduse tegevus varjatakse võltsekraaniga, mis küsib ohvri krediitkaardiandmeid või panka sisenemise andmeid.

Kuid nagu varem mainitud, on keeruline öelda, milliseid rakendusi rünnatakse, kuna küsitud HTML sõltub sellest, millised rakendused on konkreetses seadmes paigaldatud. Enda uuringute käigus oleme näinud võltsekraane Commbankile, NAB-le ja Westpac Mobile Banking rakendusele, kuid ka Facebookile, WhatsAppile, Instagramile ja Google Playle.

Võltsitud vormidesse sisestatud mandaadid saadetakse krüpteerimata kujul ründajate C&C serverisse. Me kahtlustame, et seadme lukustamise funktsionaalsust kasutatakse siis, kui kompromiteeritud pangakontosid tühjendatakse. Ründajad võivad seadme kauglukustada võltsekraaniga, mis näeb välja uuendusena. Nii saavad nad oma tegevust ohvrite eest varjata ja nende sekkumist vältida.

 

FlashlightPilt 2 – Võltsekraanid imiteerivad nakatunud seadmel leiduvaid rakendusi

Flashlight

Pilt 3 – Võltsitud süsteemi ekraan, mida seadme lukustamiseks kasutatakse

C&C-ga suhtlemiseks väärtarvitab Trooja hobune Firebase Cloud sõnumite saatmist, mis on esimene kord, kui oleme näinud, et Androidi pahavara seda sidekanalit kasutab.

Oma uuringute põhjal leiame, et rakendus on Check Pointi uurijate poolt 2017. aasta jaanuaris avastatud Android/Chargeri muudetud versioon. Erinevalt esimesest versioonist, mis peamiselt lukustas ohvrite seadmed ning pressis neilt seadmete lahti tegemise eest raha välja, püüavad Chargeri taga olevad ründajad nüüd oma õnne pangadetailide õngevõtmisega – areng, mis on Androidi pahavara maailmas üsna haruldane.

Oma võltside sisselogimisekraanide ja lukustusfunktsiooniga sarnaneb Android/Charger.B ka mõneti panganduspahavaraga, mille me veebruaris avastasime ja mida ka analüüsisime. Mis teeb selle viimase avastuse ohtlikumaks on aga asjaolu, et see suudab sihtmärke dünaamiliselt uuendada, sest need ei ole pahavarasse sisse kodeeritud. See omadus avab piiramatuid võimalusi väärkasutuseks tulevikus.

Kas minu seade on nakatunud? Kuidas seda puhastada?

Kui olete hiljuti Google Play poest taskulambi rakenduse alla laadinud, siis võiksite kontrollida, et ei ole kogemata selle Trooja hobuse peale sattunud.

Pahatahtliku rakenduse võib leida asukohast Seaded> Rakenduste haldur/Rakendused> Flashlight Widget.

FlashlightPilt 4 – Pahatahtlik rakendus rakendushalduris

Kuigi rakenduse asukoha leidmine on lihtne, siis eemaldamine seda ei ole. Trooja hobune püüab seda vältida keelates ohvritel seadme aktiivse administraatori välja lülitamist, mis on rakenduse eemaldamiseks vajalik. Kui proovite õigusi välja lülitada, siis ei kao hüpikaken enne, kui muudate oma meelt ja vajutate uuesti „aktiveeri”.

Sellisel juhul saab rakenduse eemaldada käivitades seadme turvarežiimis, mis võimaldab teil läbida järgmised kaks sammu pahatahtliku rakenduse eemaldamiseks.

Vaadake allolevat juhistega videot:

Kuidas turvalisust tagada?

Mobiilse pahavara tagajärgedega tegelemise vältimiseks on ennetus alati kõige olulisem.

Võimaluse korral valige rakenduste allalaadimiseks alati ametlikud rakenduste poed. Kuigi need ei ole alati täiuslikud, siis Google Play kasutab pahavara eemal hoidmiseks keerukaid turvalisuse mehhanisme, mis ei ei vasta alternatiivsete kaupluste puhul alati tõele.

Kui kahtlete rakenduse paigaldamises, kontrollige selle populaarsust allalaadimiste arvu järgi, selle hinnanguid ja  mis kõige tähtsam, arvustuste sisu.

Pärast allalaetud rakenduste käivitamist pöörake tähelepanu sellele, milliseid lubasid ja õigusi see nõuab. Kui rakendus küsib lubasid, mis ei tundu õigustatud – nagu näiteks seadme administraatori õigused taskulambi rakenduse puhul –, siis kaaluge oma valikut uuesti.

Samuti on oluline, et kasutate oma seadme kaitsmiseks tunnustatud mobiilse turvalisuse lahendust.

Analüüsitud näidis

 

Paketi nimi Räsi Tuvastamine
com.flashscary.widget CA04233F2D896A59B718E19B13E3510017420A6D Android/Charger.B

 

Allikas: WeLiveSecurity