ESET-i teadlased leidsid esimese teadaoleva nuhkvara, mis on ehitatud AhMythi avatud lähtekoodiga pahavara alustele ja on Google’i rakenduste kontrollimisprotsessist kõrvale hoidnud. Pahatahtlik rakendus, mille nimi on Radio Balouch ehk RB Music, on tegelikult täielikult funktsioneeriv voogesituse raadiorakendus Balouchi mõeldud muusikahuvilistele, välja arvatud see, et selle sabas on suur astel – ta varastab kasutajate isiklikke andmeid. Rakendus tungis kaks korda ametlikku Androidi rakenduste poodi, kuid Google eemaldas selle mõlemal korral pärast meie poolset teavitust kiiresti.
AhMyth, mis on avatud lähtekoodiga kaugjuurdepääsu tööriist, kust Raadio Balouchi rakendus laenas oma pahatahtlikku funktsiooni, tehti 2017. aasta lõpus avalikkusele kättesaadavaks. Sellest ajast alates oleme olnud tunnistajateks mitmesugustele selle alusel töötavatele pahatahtlikele rakendustele; Raadio Balouchi rakendus on neist siiski esimene, mis ilmub Androidi ametlikku rakenduste poodi.
ESETi mobiilne turvalahendus on kaitsnud kasutajaid AhMythi ja selle derivaatide eest alates 2017. aasta jaanuarist – isegi enne AhMythi avalikustamist. Kuna AhMythi pahatahtlik funktsionaalsus pole varjatud, kaitstud ega hävitatud, on triviaalne tuvastada Raadio Balouchi rakendus – ja muud tuletised – pahatahtlikeks ning liigitada need AhMythi perekonda kuuluvateks.
Peale Google Play on pahavara, mille ESET tuvastas kui Android / Spy.Agent.AOX, olnud saadaval ka teistes rakenduste poodides. Lisaks on seda reklaamitud spetsiaalsel veebisaidil, Instagrami ja YouTube’i kaudu. Oleme teatanud vastavatele teenusepakkujatele kampaania pahatahtlikkusest, kuid vastust pole saanud.
Raadio Balouch on täielikult funktsioneeriv voogesituse raadiorakendus omane Balouchi regioonile (järjepidevuse huvides järgime kampaanias kasutatud kirjaviisi; kõige tavalisem transkriptsioon on “Balochi” või “Baluchi” ). Taustal aga luurab rakendus oma ohvreid.
Google Playst avastasime kaks korda pahatahtliku Raadio Balouchi rakenduse erinevad versioonid ja mõlemal juhul oli rakendusel 100+ allalaadimist. Teavitasime selle rakenduse esmakordsest ilmumisest Androidi ametlikku poodi Google’i turbetiimile 2. juulil 2019. aastal ja see eemaldati 24 tunni jooksul.
Pahatahtlik raadio Balouchi rakendus ilmus Google Plays uuesti 13. juulil 2019. aastal. Ka sellest teatas ESET kohe ja Google eemaldas selle kiiresti.
Joonis 1. Pahatahtlik rakendus Radio Balouch ilmus Google Plays kaks korda
Pärast Google Playst eemaldamist on pahatahtlik raadiorakendus kirjutamise ajal saadaval ainult muude tootjate rakenduste poodides. Seda on levitatud ka selleks loodud veebisaidilt radiobalouch [.] Com lingi kaudu, mida reklaamitakse seotud Instagrami konto kaudu. Seda serverit kasutati ka nuhkvara C&C-side jaoks (vt allpool). Domeen registreeriti 30. märtsil 2019. aastal ja veidi pärast meie kaebuse saamist oli veebisait maas ja on antud postituse kirjutamise ajal endiselt.
Ründajate Instagrami konto lingib postituse kirjutamise ajal siiski rakendusele, mis on Google Playst eemaldatud. Samuti on nad üles seadnud YouTube’i kanali koos ühe rakendust tutvustava videoga; ilmselt nad ei reklaami seda, kuna videol on kirjutamise ajal vaid 21 vaatamist.
Joonis 2. Raadio Balouchi veebisait (vasakul), Instagrami konto (keskel) ja YouTube’i reklaamvideo (paremal)
Funktsionaalsus
Pahatahtlik Raadio Balouchi rakendus töötab Android 4.2 ja uuemates versioonides. Selle Interneti-raadiofunktsioonid on ühendatud AhMythi funktsionaalsusega üheks pahatahtlikuks rakenduseks.
Pärast allalaadimist võimaldab pahatahtlik funktsionaalsus rakendusel aga varastada kontakte, korjata seadmesse salvestatud faile ja saata kahjustatud seadmest SMS-e.
Samuti on olemas funktsioon seadmesse salvestatud SMS-ide varastamiseks. Seda funktsionaalsust ei saa siiski kasutada, kuna Google’i hiljutised piirangud võimaldavad SMS-ide vaikerakendusel neile sõnumitele juurde pääseda.
Kuna AhMythil on rohkem variante, mille funktsionaalsus erineb, siis võib rakendus Radio Balouch ja muu sellel avatud lähtekoodiga spionaaži tööriistal põhinev pahavara tulevikus värskenduse kaudu täiendavaid funktsioone saada.
Pärast käivitamist valivad kasutajad oma eelistatud keele (inglise või pärsia); järgmises etapis alustab rakendus lubade taotlemist. Esiteks taotleb ta juurdepääsu seadme failidele, mis on raadiorakenduse seaduslik luba selle funktsionaalsuse võimaldamiseks; keeldumise korral raadio ei töötaks.
Seejärel taotleb rakendus luba kontaktidele juurde pääseda. Siin soovitab ta seda funktsiooni kasutada loataotluse varjamiseks, kui kasutaja otsustab rakendust oma kontaktide loendis sõpradega jagada. Kui kasutaja keeldub kontaktiõigusi andmast, töötab rakendus sõltumata sellest.
Joonis 3. Raadio Balouchi rakenduse lubade taotlused
Pärast seadistamist avab rakendus muusikavalikutega oma avaekraani ja pakub võimalust registreeruda ja sisse logida. Igasugune “registreerimine” on aga mõttetu, kuna iga sisestus viib kasutaja operaatorite halvas inglise keeles “sisse logitud” olekusse. Tõenäoliselt on see samm lisatud ohvrite andmete söödaks ja püütakse saadud paroole kasutades tungida teistesse teenustesse – meeldetuletuseks, et mitte kunagi samu paroole teenuste vahel kasutada. Külgmärkus: andmed edastatakse krüptimata HTTP-ühenduse kaudu.
Joonis 4. Raadio Balouchi rakenduse avakuva (vasakul) ja seadete (paremal) ekraanid
C&C-kommunikatsiooni jaoks tugineb Raadio Balouch oma (nüüdseks lakanud) radiobalouch [.] Com domeenile. Siit on koht, kus ta saadab oma ohvrite kohta kogutud teavet – eriti teavet ohustatud seadmete ja ohvrite kontaktiloendite kohta. Nagu ka kontoandmed, edastatakse C&C liiklus krüptimata HTTP-ühenduse kaudu.
Joonis 5. Raadio Balouchi side oma C&C-serveriga
Kokkuvõte
Radio Balouchi pahavara (korduv) ilmumine Google Play poes peaks toimima äratusena nii Google’i turbemeeskonnale kui ka Androidi kasutajatele. Kui Google oma turvafunktsioone ei paranda, võib Google Plays ilmuda uus Radio Balouchi kloon või mõni muu AhMythi tuletis.
Ehkki võtmetähtsusega turvalisuse tagamise kohustus „Rakenduste ametlikest allikatest kinni pidamine” kehtib endiselt, ei saa see üksi turvalisust tagada. On tungivalt soovitatav, et kasutajad kontrolliksid kõiki rakendusi, mida nad kavatsevad oma seadmesse installida, ja kasutaksid mainekat mobiili turvalahendust.
IoCd
| Hash | ESET tuvastuse nimi |
|---|---|
| F2000B5E26E878318E2A3E5DB2CE834B2F191D56 | Android/Spy.Agent.AOX |
| AA5C1B67625EABF4BD839563BF235206FAE453EF | Android/Spy.Agent.AOX |
