Xamalicious Android zlonamjerni softver
McAfee Mobile Research Team je identifikovao Xamalicious Android zlonamjerni softver kao Android backdoor implementiran sa Xamarin, okruženjem otvorenog kôda koji omogućava pravljenje Android i iOS aplikacija sa .NET i C# programskim jezicima.
XAMALICIOUS ZLONAMJERNI SOFTVER
Ovaj zlonamjerni softver pokušava da dobije privilegije pristupačnosti pomoću društvenog inženjeringa. Zatim komunicira sa serverom za komandu i kontrolu kako bi procijenio da li da preuzme korisni teret druge faze koji se dinamički ubrizgava kao DLL datoteka za sklapanje na nivou izvršavanja da bi se u potpunosti iskoristio kontrolu nad uređajem i potencijalno vršenje lažnih radnji kao što su klikovi na oglase, instaliranje aplikacija između ostalih radnji koje su finansijski motivisane bez saglasnosti korisnika.
Korisni teret druge faze može preuzeti potpunu kontrolu nad zaraženim uređajem zahvaljujući moćnim uslugama pristupačnosti koje su već odobrene tokom prve faze, a koje takođe sadrže funkcije za samostalno ažuriranje glavne APK datoteke, što znači da ima potencijal za obavljanje bilo koje vrste aktivnosti kao špijunski softver ili bankarski trojanac bez interakcije korisnika.
Sigurnosni istraživači su otkrili vezu između Xamialicious zlonamjernog softvera i aplikacije za prevaru sa reklamama “Cash Magnet” koju prevaranti koriste za generisanje prihoda upućivanjem uređaja da kliknu na oglase, instaliraju aplikacije i druge radnje. Ovo navodi na zaključak da su zlonamjerni akteri koji stoje iza ovog backdoor zlonamjernog softvera finansijski motivisani.
ZLONAMJERNE APLIKACIJE
Zlonamjerni softver Xamialicious obično oponaša igre, horoskope, životne ili zdravstvene aplikacije koje mogu da ugroze Android uređaj nakon instalacije. Sigurnosni istraživači su identifikovali 25. aplikacija koje se nalaze u Google Play prodavnici od 2020. godine. Prema dostupnom izvještaju, ove aplikacije su već uticale na oko 327.000 uređaja, a najugroženiji su korisnici širom SAD, Brazila i Argentine. Nekoliko uređaja u Evropi, uključujući Veliku Britaniju, Španiju i Njemačku, takođe je prijavilo ovaj zlonamjerni softver.
Ovo je lista od 10 ovih aplikacija koje predstavljaju potencijalnu prijetnju pametnim telefonima:
- Essential Horoscope for Android (com.anomenforyou.essentialhoroscope)
- Logo Maker Pro (com.vyblystudio.dotslinkpuzzles)
- Auto Click Repeater (com.autoclickrepeater.free)
- Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator)
- LetterLink (com.regaliusgames.llinkgame)
- NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER)
- Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter)
- Track Your Sleep (com.shvetsStudio.trackYourSleep)
- Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro)
- Universal Calculator (com.Potap64.universalcalculator)
Korištenje Xamarin okruženja omogućilo je autorima zlonamjernog softvera da ostanu aktivni i bez otkrivanja dugo vremena, koristeći prednosti procesa pravljenja APK datoteka koje su radile kao paker da bi sakrile zlonamjerni kôd. Pored toga, autori zlonamjernog softvera su takođe primijenili različite tehnike zamagljivanja i prilagođeno šifrovanje da bi eksfiltrirali podatke i komunicirali sa serverom za komandu i kontrolu.
Zlonamjerne aplikacije su uklonjene iz Google Play prodavnice aplikacija, ali korisnici koji su ih instalirali od sredine 2020. godine možda ih i dalje imaju aktivne na svojim uređajima. Korisnike ne treba da zavara što ove aplikacije nisu vidljive na Google Play prodavnici, već oni korisnici koji su ih slučajno instalirali na telefone treba da ih odmah ručno obrišu.
XAMALICIOUS FUNKCIONISANJE
Kako je Xamalicious .NET orijentisan Android backdoor koji je ugrađen u aplikacije (u obliku “Core.dll” i “GoogleService.dll”) razvijenih korištenjem Xamarin okruženja otvorenog kôda, što analizu čini izazovnijom, sigurnosni istraživači su ipak došli do određenih saznanja:
Dobijanje usluga pristupačnosti
Kada se aplikacija u koju je ugrađen ovaj zlonamjerni softver pokrene na uređaju, ona odmah traži od žrtve da omogući usluge pristupačnosti za “ispravan rad” i daje uputstva za aktiviranje ove dozvole. Korisnici moraju ručno da aktiviraju usluge pristupačnosti nakon nekoliko upozorenja operativnog sistema.
Zlonamjerni kôd
Zlonamjerni softver Xamalicious je je prvobitno napisan u .NET programskom okruženju i kompajliran u biblioteku dinamičkih veza (DLL). Zbog načina pakovanja u APK datoteku u nekim primjerima preokretanje DLL biblioteke je jednostavno, dok su u drugim potrebni dodatni koraci za njeno raspakivanje. Neke varijante zlonamjernog softvera su zamaglile DLL biblioteku kako bi izbjegle analizu i poništavanje zlonamjernog kôda, dok druge drže originalni kôd dostupnim.
Prikupljanje informacija
Xamalicious Android zlonamjerni softver prikuplja podatke sa više različitih podataka sa uređaja uključujući listu instaliranih aplikacija dobijenih preko sistemskih komandi kako bi se utvrdilo da li je zaraženi uređaj dobra meta za drugu fazu. Zlonamjerni softver može da prikuplja informacije o lokaciji, nosiocu i mreži između statusa rutiranja uređaja, konfiguracije ADB veze. Primjera radi ako je uređaj povezan preko ADB – Android Debug Bridge ili ako je ROM uređaja otključan (eng. rooted), C2 neće obezbijediti drugu fazu korisnog DLL tereta za preuzimanje. Neke od informacije koje ovaj zlonamjerni softver može prikupiti su: Android Id, brend uređaja, CPU, memorija uređaja, senzori, model uređaja, serijski broj, verzija operativnog sistema, jezik uređaja, naziv internet provajdera, da li je ROM otključan, lista instaliranih aplikacija, status usluga pristupačnosti i slično.
Korištenje enkripcije
Kako bi izbjegli analizu i otkrivanje, zlonamjerni akteri su šifrovali svu komunikaciju i podatke koji se prenose između C2 i zaraženog uređaja, ne samo da je zaštićena zaštićena HTTPS vezom, već je šifrovana kao JSON Web Encryption – JWE token koristeći RSA-OAEP sa 128CBC-HS256 algoritmom. Međutim RSA vrijednosti ključa koje koristi Xamalicious zlonamjerni softver su čvrsto kodirane u raspakovanoj zlonamjernoj DLL biblioteci tako da je dešifrovanje prenijetih informacija jedino moguće ako je C2 infrastruktura dostupna tokom analize.
Evaluacija druge faze
Prikupljeni podaci koji se prenesu na C2 se koriste da bi se utvrdilo da li je uređaj prava meta za preuzimanje korisnog opterećenja druge faze. Mehanizam samozaštite zlonamjernog aktera prevazilazi tradicionalnu detekciju emulacije i ograničenja operatera koda zemlje, jer u ovom slučaju, server za komandu i kontrolu neće isporučiti drugu fazu korisnog opterećenja ako je ROM uređaja otključan ili povezan kao ADB preko USB veze ili nema SIM karticu među brojnim drugim provjerama okruženja.
DLL injekcija
Kada se učita druga faza korisnog opterećenja, uređaj može biti potpuno kompromitovan, jer kada se dozvole pristupačnosti daju, on može da prati i komunicira sa bilo kojom aktivnošću koja omogućava tajni pristup uređaju – backdoor za bilo koju vrstu zlonamjerne aktivnosti.
Tokom analize, preuzeto opterećenje drugog stepena sadržalo je DLL biblioteku koja je bila zamagljena i nekompletna vjerovatno zato što C2 nije primio očekivane parametre za obezbjeđivanje kompletne zlonamjerne druge faze koja bi mogla biti ograničena na određeni nosilac, jezik, instalirane aplikacije, lokaciju, vremensku zonu ili drugi nepoznati uslovi inficiranog uređaja. Ipak, sa sigurnošću se može tvrditi da je to backdoor visokog rizika koji ostavlja mogućnost dinamičkog izvršavanja bilo koje komande na inficiranom uređaju ne ograničavajući se na špijuniranje, lažno predstavljanje ili kao finansijski motivisan zlonamjerni softver.
Prevara sa oglasima
Jedan od Xamalicious uzoraka je bio prepoznat kao LetterLink (com.regaliusgames.llinkgame) aplikacija koja je bila dostupna na Google Play prodavnici krajem 2020. godine, a koja je ustvari loše opisana verzija Cash Magnet aplikacije koja vrši prevaru sa oglasima pomoću automatizovanog klikanja, preuzimanja aplikacija i drugih zadataka koji dovode do profita za pridruženi marketing.
LetterLink obavlja višestruke Xamalicious aktivnosti pošto sadrži biblioteku “core.dll”, povezuje se na isti C2 server i koristi isti čvrsto kodirani privatni RSA certifikat za pravljenje JWE šifrovanih tokena koji obezbjeđuju nepobitni dokaz da programeri Cash Magnet aplikacije stoje iza Xamalicious zlonamjernog softvera.
ZAKLJUČAK
Android aplikacije koje nisu napisane u Java kôdu, koristeći okruženja kao što je React Native, Flutter i Xamarin mogu omogućiti zlonamjernim akterima dodatni sloj zamagljivanja kôda zlonamjernog softvera. Zbog toga, zlonamjerni akteri namjerno biraju ove alate da bi izbjegli otkrivanje i pokušali da ostanu ispod radara sigurnosnih istraživača i sigurnosnih softvera, kao i da zadrže svoje prisustvo u raznim prodavnicama aplikacija.
Uz omogućavanje prava pristupa uslugama pristupačnosti, ovaj zlonamjerni softver nakon raznih provjera polako dolazi do trenutka kada može da isporuči korisni teret druge. Preuzimanje korisnog tereta druge faze omogućava preuzimanje kontrole nad uređajem, jer se dozvoljavaju pristupne dozvole, tako da zlonamjerni softver može da izvrši bilo koju drugu dozvolu ili radnju ako su ova uputstva data u ubačenom kôdu.
ZAŠTITA
Korisnici mogu dodatno zaštititi svoje uređaje i umanjiti rizike povezane sa ovim vrstama zlonamjernog softvera prateći sljedeće preporuke:
- Korisnici Android operativnog sistema treba da izbjegavaju instalaciju aplikacija iz nezvaničnih izvora i prodavnica aplikacija trećih strana i da se drže pouzdanih platformi kao što je Google Play prodavnica, koje primjenjuje procese pregleda aplikacija i bezbjednosne mjere. Iako ovo ne garantuje potpunu zaštitu, smanjuje rizik od preuzimanja zlonamjernih aplikacija,
- Pouzdana sigurnosna aplikacija za Android operativni sistem štiti uređaj korisnika od zlonamjernih aplikacija. Sigurnosne aplikacije pružaju dodatni sloj zaštite skeniranjem i identifikacijom potencijalno štetnih aplikacija, otkrivanjem zlonamjernog softvera i upozoravanjem korisnika na sumnjive aktivnosti,
- Korisnici trebaju prilikom preuzimanja aplikacije iz Google Play prodavnice trebaju obratiti pažnju na na recenzije korisnika (možda nisu dostupne u nezvaničnim prodavnicama). Ključno je biti svjestan da pozitivne kritike mogu biti lažne kako bi se povećao kredibilitet zlonamjernih aplikacija. Korisnici bi trebalo da se usredsrede na negativne kritike i pažljivo procjene zabrinutosti korisnika, jer mogu otkriti važne informacije o zlonamjernoj aplikaciji,
- Prije instalacije aplikacije, korisnici trebaju da dobro pogledaju politiku privatnosti koju će aplikacija primjenjivati. Takođe, tokom instalacije aplikacije veoma je važno obratiti pažnju na podatke i dozvole kojima aplikacija traži pristup i postaviti sebi pitanja da li su ti podaci i dozvole neophodni za funkcionisanje aplikacije.