Исследователи компании ESET обнаружили первую известную шпионскую программу, созданную на основе вредоносного программного обеспечения с открытым исходным кодом AhMyth, сумевшую обойти процесс проверки приложений Google. Это вредоносное приложение, которое называется Radio Balouch, или RB Music, на самом деле является полностью работающим приложением потокового радио для любителей музыки Balouchi, за исключением того, что оно имеет скрытое жало – похищение персональных данных пользователей. Приложение дважды проникало в официальный магазин приложений для Android, но компания Google быстро удалила его оба раза после того, как мы предупредили ее об этом.

AhMyth, инструмент удаленного доступа с открытым исходным кодом, у которого приложение Radio Balouch заимствовало свои вредоносные функциональные возможности, стал общедоступным в конце 2017 года. С тех пор мы стали свидетелями различных вредоносных приложений на его основе; однако приложение Radio Balouch является первым из них, которое появилось в официальном магазине приложений для Android.

Решение компании ESET для защиты мобильных устройств защищает пользователей от AhMyth и его производных с января 2017 года – еще до того, как AhMyth стала общедоступной. Поскольку вредоносные функциональные возможности в AhMyth не прячутся, не защищаются и не обфусцируются, не составляет труда идентифицировать приложение Radio Balouch – и другие производные – как вредоносные и классифицировать их как принадлежащие к семейству AhMyth.

Помимо Google Play вредоносная программа, обнаруженная ESET в виде Android/Spy.Agent.AOX, проникла и в альтернативные магазины приложений. Кроме того, она рекламировалась на специальном веб-сайте, в Instagram и на YouTube. Мы сообщили о вредоносном характере этой кампании соответствующим поставщикам услуг, но не получили ответа.

Radio Balouch – это полностью работающее приложение потокового радио для музыки, характерной для региона Balouchi («белуджи») (для согласованности мы следуем орфографии, использованной в кампании; наиболее распространенная транскрипция – “Balochi” или “Baluchi”). В фоновом же режиме приложение шпионит за своими жертвами.

В Google Play мы дважды обнаруживали разные версии вредоносного приложения Radio Balouch, и в каждом случае приложение имело более 100 установок. Мы сообщили о первом появлении этого приложения в официальном магазине Android в службу безопасности Google 2 июля 2019 года, и оно было удалено в течение 24 часов.

Вредоносное приложение Radio Balouch снова появилось в Google Play 13 июля 2019 года. Об этом тоже было немедленно сообщено ESET и быстро удалено Google.

Рисунок 1. Вредоносное приложение Radio Balouch появлялось в Google Play дважды

На момент написания этой статьи после удаления из Google Play вредоносное приложение радио было доступно только в сторонних магазинах приложений. Оно также распространялось со специального веб-сайта radiobalouch[.]com по ссылке, рекламируемой через соответствующую учетную запись Instagram. Этот сервер также использовался для связи со шпионской программой (см. ниже). Домен был зарегистрирован 30 марта 2019 года, и вскоре после нашей жалобы веб-сайт был закрыт, однако на момент написания этой статьи он все еще существовал.

На момент написания этой статьи учетная запись Instagram злоумышленников содержала ссылку на приложение, удаленное из Google Play. Они также создали канал YouTube с одним видеороликом, представляющим приложение; по всей видимости, они его не рекламируют, поскольку на момент написания этой статьи у видеоролика всего лишь 21 просмотр.

Рисунок 2. Сайт Radio Balouch (слева), учетная запись в Instagram (в центре) и рекламный видеоролик на YouTube (справа)

Функциональные возможности

Вредоносное приложение Radio Balouch работает на Android 4.2 и выше. Его функциональные возможности интернет-радио объединены с функциональными возможностями AhMyth в одно вредоносное приложение.

После установки компонент онлайнового радио становится полностью функциональным, воспроизводя поток музыки Balouchi. Однако добавленные вредоносные функциональные возможности позволяют приложению похищать контакты, собирать файлы, хранящиеся на устройстве, и отправлять SMS-сообщения с пораженного устройства.

Также имеются функциональные возможности для похищения SMS-сообщений, хранящихся на устройстве. Однако этими функциональными возможностями воспользоваться невозможно, поскольку благодаря недавним ограничениям Google получать доступ к этим сообщениям может только стандартное приложение SMS.

Поскольку AhMyth имеет множество разновидностей, функциональные возможности которых различаются, приложение Radio Balouch, как и любая другая вредоносная программа, основанная на этом шпионском инструменте с открытым исходным кодом, в будущем может получить дополнительные функции через обновления.

После запуска пользователи выбирают предпочитаемый язык (английский или фарси); на следующем шаге приложение начинает запрашивать разрешения. Во-первых, оно запрашивает доступ к файлам на устройстве, что является законным разрешением для приложения радио, подключающим его функциональные возможности; если в нем будет отказано, радио не будет работать.

Затем приложение запрашивает разрешение на доступ к контактам. Здесь, чтобы замаскировать свой запрос на это разрешение, оно говорит, что эти функциональные возможности необходимы на тот случай, если пользователь решит поделиться приложением с друзьями в своем списке контактов. Если пользователь отказывается предоставить разрешения на контакты, приложение будет работать и так.

Рисунок 3. Запросы разрешений приложения Radio Balouch

После настройки приложение открывает стартовое окно с настройками музыки и предлагает возможность зарегистрироваться и войти в систему. Однако любая «регистрация» не имеет смысла, так как любой ввод приведет пользователя в состояние “logined” (на плохом английском языке операторов). Вероятно, этот шаг был добавлен для того, чтобы завладеть учетными данными жертв и попытаться проникнуть в другие службы с использованием полученных паролей – лишнее напоминание о том, что никогда не следует многократно использовать пароли для разных служб. И кстати, учетные данные передаются в незашифрованном виде через HTTP-соединение.

Рисунок 4. Стартовое окно приложения Radio Balouch (слева) и «Настройки» (справа)

Для связи Radio Balouch использует свой (теперь уже не существующий) домен radiobalouch[.]com. Именно туда оно будет отправлять собранную информацию о своих жертвах, в частности информацию об устройствах с нарушенной системой безопасности и списки контактов жертв. Как и в случае с учетными данными, трафик связи передается в незашифрованном виде через HTTP-соединение.

Рисунок 5. Связь Radio Balouch с командным сервером

Выводы

(Повторное) появление вредоносной программы Radio Balouch в магазине Google Play должно послужить сигналом тревоги как для группы безопасности Google, так и для пользователей Android. Если Google не улучшит свои защитные возможности, в Google Play может появиться новый клон Radio Balouch или любой другой производной AhMyth.

Хотя ключевой императив безопасности «Держитесь официальных источников приложений» остается в силе, сам по себе он не может гарантировать безопасность. Настоятельно рекомендуется, чтобы пользователи тщательно изучали каждое приложение, которое они намерены установить на своих устройствах, и использовали надежное решение для обеспечения безопасности мобильных устройств.

IoC

ХэшНазвание при обнаружении
F2000B5E26E878318E2A3E5DB2CE834B2F191D56Android/Spy.Agent.AOX
AA5C1B67625EABF4BD839563BF235206FAE453EFAndroid/Spy.Agent.AOX