DoNot APT aplikacije u Google Play prodavnici

DoNot APT hakerska grupa je postavila Android zlonamjerne aplikacije u Google Play prodavnici pod nalogom “SecurITY Industry”. Grupa je otkrivena od strane sigurnosnih istraživača kompanije Cyfirma.

android

Source: Wallpapercave; Redizajn: Saša Đurić

Kampanja

Tehnička analiza sigurnosnih istraživača kompanije Cyfirma pokazuje da aplikacije imaju zlonamjerno ponašanje i da pripadaju ozloglašenoj grupi u kategoriji napredne trajne prijetnje – APT  (eng. Advanced persistent threat) koja cilja korisnike na području Kašmira.

Otkriveno je da napadači koriste Android aktivni dio virusa protiv pojedinaca u regionu Pakistana, ali je još nepoznato šta je cilj napada u regionu južne Azije. Analiza pokazuje da je motiv napada prikupljanje informacija i korištenje prikupljenih informacija za napad u drugoj fazi, koristeći zlonamjerni softver sa više destruktivnih karakteristika.

 

Zlonamjerne aplikacije

Aplikacije u ovoj kampanji su bile pod autorskim nalogom “SecurITY Industry” u Google Play prodavnici i to tri aplikacije pod nazivima:

 

  • Device Basic Plus
  • nSure Chat
  • iKHfaa VPN

 

Od navedenih aplikacija, nSure Chat i iKHfaa VPN imaju zlonamjerne karakteristike. Napadač je koristio očišćene Android biblioteke i natjerao ih da prikupljaju kontakte i lokaciju inficiranog uređaja. iKHfaa VPN aplikacija je koristila kôd od pravog dobavljača VPN usluga i uz dodavanje biblioteke za tiho obavljanje zlonamjernih aktivnosti. Obično VPN aplikacije ne koriste dozvolu za lokaciju i kontakt da bi VPN aplikacija funkcionisala, jer su to najmanje potrebni podaci za funkcionisanje VPN aplikacije kako bi ona obavljala svoj posao.

Ovi sumnjivi zahtjevi za nepotrebnim dozvolama su usmjerili istraživanje ka dubljoj analizi i nakon detaljne tehničke analize utvrđeno je da se radi o grupi DoNot.

 

Funkcionisanje

Kada se iKHfaa VPN instalira, od korisnika se traži dozvola za pristupanje lokaciji uređaja. Korisnici mogu vidjeti nepravilnosti u aplikaciji, odlaskom na opciju “about us” gdje se jasno vidi stvarni naziv aplikacije.

iKHfaa VPN

iKHfaa VPN; Source: Cyfirma

U ovu aplikaciju, tajno su dodate RoomDB i Retrofit biblioteke za čuvanje podataka i preuzimanje kontakata i tačne lokacije koji se šalju na kontrolni server koji je ustvari službena Internet stranica aplikacije. Ako je omogućen pristup lokaciji, iKHfaa VPN modul određuje tačnu lokaciju inficiranog uređaja, u suprotnom snima i čuva posljednju zabilježenu lokaciju uređaja.

nSure Chat aplikacija prikazuje snimak ekrana nakon instalacije aplikacije i otvaranja. Ako korisnik odluči da preskoči stranicu za ćaskanje, aplikacija će od njega zatražiti da da dozvolu za pristup kontaktima. Sada ako korisnik preskoči stranicu za registraciju, biće automatski usmjeren na odjeljak za prijavu ili registraciju aplikacije.

nSure Chat

nSure Chat; Source: Cyfirma

Ova aplikacija koristi Retrofit biblioteku za uspostavljanje komunikacije sa domenom i portom konfigurisanim u aplikaciji. Sigurnosni istraživači su otkrili komunikaciju između aplikacije i porta 4000 nakon analize saobraćaja aplikacije nSure Chat koja je povezana sa šifrovanim domenom pomoću besplatne usluge Let’s Encrypt.

Nakon sprovođenja detaljne analize uzoraka, sigurnosni istraživači sa umjerenim nivoom povjerenja, tvrde da je nalog Google Play prodavnice povezan sa APT grupom DoNot. Sigurnosni istraživači su su otkrili šifrovane stringove koristeći AES/CBC/PKCS5PADDING algoritam, a i kôd je takođe zamaskiran korištenjem Proguard softvera otvorenog kôda. Zanimljivo je da tekstualna datoteka koju generiše Android aplikacija djeli isto ime kao i tekstualna datoteka u prethodnom Android zlonamjernom softveru korištenom  od strane DoNot grupe za lokalno skladištenje podataka.

Sigurnosni istraživači imaju veoma malo saznanja o konkretnim žrtvama koje su ciljane u ovoj kampanji, osim da su se nalazile u Pakistanu. Prema karakteristikama zlonamjernog softvera napadač teži prikupljanju informacija za napad u drugoj fazi, kada koristi zlonamjerni softver sa naprednim funkcijama. Sumnja se da napadači koriste Telegram ili WhatsApp aplikacije za razmjenu poruka kako bi svoje žrtve prevarili da instaliraju aplikaciju koristeći Google Play prodavnicu.

 

Zaključak

Svake godine istraživači otkrivaju Android aplikacije sa karakteristikama zlonamjernog softvera ili legitimne aplikacije koje tjeraju korisnike da preuzimaju zlonamjerne Android aplikacije na Google Play prodavnici, međutim, vrlo je malo slučajeva da APT grupe koriste Google Play prodavnicu za čuvanje zlonamjernih aplikacija zaobilazeći bezbjednosne provjere.

Usmjeravanjem korisnika na preuzimanje aplikacije iz Google Play prodavnice, napadač značajno povećava vjerovatnoću uspješnog napada. Ovaj pristup koristi prednost povjerenja korisnika u Google Play prodavnicu, jer je neuobičajeno da pojedinci posumnjaju da se zlonamjerne aplikacije na nalaze na tom servisu.

Ova primjetna promjena u taktici napada koju koristi DoNot APT grupa znači da su napadači otišli korak dalje postavljanjem Android zlonamjernog softvera u Google Play prodavnicu. Prihvatili su izazov otpremanja Android aplikacije na Google Play, jer je to složen proces koji uključuje detaljno ispitivanje svake dozvole koja se dodjeljuje aplikaciji.

Zabrinjavajuće je to što je ovaj Android zlonamjerni softver posebno dizajniran za prikupljanje informacija koje poslije omogućavaju napadaču da odredi strategije za buduće napade i koristi Android zlonamjerni softver sa naprednim funkcijama za ciljanje i eksploataciju žrtava.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.