Nylig forskerne fra Check Point Research (HLR) teamet advarte brukere om fortsatt tilstedeværende fare for Sharkbot malware funnet i år på Google Play. Selv om funnene umiddelbart ble rapportert til Google og fjernet, teamet sier de har funnet nye ondsinnede Sharkbot-applikasjoner.
Hva er Sharkbot malware?
Sharkbot er en Android-tyver som utgir seg for å være en AV-løsning på Google Play. Denne skadevaren stjeler bankinformasjon og legitimasjon mens den implementerer geofencing og andre unnvikende teknikker som gjør at den virkelig skiller seg ut. Et interessant aspekt som cybersikkerhetsspesialister påpeker - en domenegenerasjonsalgoritme (DGA) - er en ting som sjelden brukes blant Android malware.
På offerets enhet skaper skadelig programvare vinduer som etterligner godartede inndataskjemaer for legitimasjon, lokke ofre til å skrive inn legitimasjon.
De kompromitterte dataene sendes deretter til en ondsinnet server. Sharkbot bruker sin geofencing-funksjon for å målrette kun mot spesifikke ofre, unntatt brukere fra Ukraina, Hviterussland, Romania, Russland, India og Kina. I tillegg vil det ikke fungere hvis det kjøres i en sandkasse.
I Google Play-butikken CheckPoint Research (HLR) teamet til sammen oppdaget seks forskjellige applikasjoner som spredte skadelig programvare. Ifølge informasjonen mottatt fra disse applikasjonene ved oppdagelsesøyeblikket var allerede lastet ned og installert omtrent 15 tusen ganger.
Tre utviklerkontoer anklaget for å spre skadelig programvare: Bingo Like Inc, Adelmio Pagnotto og Zbynek Adamcik. Under nøye inspeksjon av cybersikkerhetsspesialister ble det kjent at to av de nevnte kontoene var aktive allerede høsten 2021.
Noen av appene som antagelig tilhørte disse kontoene ble fjernet fra Google Play, men eksisterer fortsatt på uoffisielle nettsteder. Cybersikkerhetsspesialister forklarer at dette kan bety at utviklere av Sharkbot prøver å forbli så ubemerket som mulig mens de fortsatt utfører ondsinnet aktivitet.
Teknisk analyse av Sharkbot
kommandoer
For å snakke om malwares hovedfunksjonalitet, opererer Sharkbot med tradisjonelle Android-bankers og stjelerverktøysett. Nettsikkerhetsspesialister funnet 27 versjoner av boten.
Totalt, Sharkbot kan implementere 22 kommandoer. Med bruk av en Command-and-Control-server (CnC) på den kompromitterte enheten, trusselaktører kan utføre ulike typer ondsinnede handlinger.
De utførte kommandoene er følgende:
fjern appen
Faktisk er dette ikke en kommando, men et felt i updateConfig-kommandoen. Under utførelsen av denne kommandoen oppretter serveren en omfattende liste over apper som bør avinstalleres fra offerets enhet. Foreløpig holder listen 680 applikasjonsnavn.
automatisk svar
trussel aktør kan skape, dette er ikke selve kommandoen, men et felt i updateConfig-kommandoen. Under denne kommandoen sender serveren en melding som imiterer et svar på push-hendelser.
Sveip
Denne kommandoen imiterer brukerens sveip på skjermen til en enhet. Cybersikkerhetsspesialister antar at dette ble gjort for å gjøre det mulig for trusselaktører å åpne applikasjonen eller hele enheten.
APP_STOP_VIEW
Her oppretter CnC pakkenavn, og deretter tillater ikke tilgjengelighetstjenesten brukere å få tilgang til de navngitte appene.
sendPush
Kommandoen viser en bruker en push-melding med angitt tekst.
iWantA11
Aktiverer tilgjengelighetstjenesten for Sharkbot.
fåDoze
Deaktiverer batterioptimalisering for Sharkbots pakke.
endreSmsAdmin
Samler inn navnene på gamle og for øyeblikket brukte standard SMS-applikasjoner til den ondsinnede CnC.
samle kontakter
Samler og sender stjålne kontakter til ondsinnede servere.
avinstaller App
Denne kommandoen avinstallerer det navngitte i pakkeappen.
SMSSend
Handlingen sjekker om tillatelsen til å sende SMS er gitt. Hvis tillatelsen er gitt, kan skadelig programvare lese og sende SMS-er.
Det er også noen mindre kommandoer som er ansvarlige for det meste av Sharkbots indre arbeid.
Nettverk
Det er ikke så mye malware som kan fungere uten CnC-serverkommunikasjon. Bankers og stjelere er de som trenger kommunikasjonen med CnC-serveren. Og her kommer et interessant faktum om denne spesielle skadevare.
Når trusselaktører har blokkert alle serverne sine, kan de bruke Domain Generation Algorithm, tingen som nesten aldri brukes i Android malware, men Sharkbot er et unntak.
DGA er en algoritme der en ondsinnet klient og ondsinnet aktør endrer CnC-serveren uten at kommunikasjon finner sted. Med denne algoritmen er det vanskeligere å blokkere malware operatørens servere.
DGA vil bestå av to deler: den faktiske algoritmen, og konstantene som denne algoritmen bruker. Konstantene kalles DGA-frø.
Protokoll og en knock-pakke
Utvekslingen i CnC-serveren skjer over HTTP med POST-forespørsel på banen /. Både forespørsler og svar er kryptert med RC4.
Fra tid til annen i den klart angitte tidsperioden vil boten sende en knock-packet til serveren. Som standard, pakken vil bli sendt hver 30 sekunder. Tidsperioden kan endres med kommandoen updateTimeKnock.
infrastruktur
På tidspunktet for publisering av en rapport, Check Point Research (HLR) laget funnet 8 IP-adresser som ble brukt til forskjellige tider av Sharkbot-operatører.
Forskere antar at det faktisk er én ekte server, og at de andre ganske enkelt er releer. Toppaktiviteten til ondsinnet operasjon økte i mars; cybersikkerhetsspesialister koblet dette til den aktive bruken av Sharkbots dropper på Google Play.
I følge den stedsbaserte statistikken var hovedmålene i Storbritannia og Italia.
Droppere
I begynnelsen, skadelig programvare blir lastet ned og installert, maskert som en AV-løsning. En gang på offerets maskin oppdager Sharkbot emulatorer, og hvis en blir funnet, slutter den å kjøre.
I tilfelle hvis en emulator er funnet, ingen kommunikasjon med CnC vil skje. Men skadelig programvare vil ikke kjøre i det hele tatt hvis lokaliteten er Ukraina, Hviterussland, Russland, Romania, India og Kina.
Den delen av applikasjonen som kontrolleres av CnC-serveren forstår 3 kommandoer:
- Laster ned og installerer APK-filen fra den oppgitte URL-en;
- Lagre autosvar-feltet i en lokal økt;
- Starter kjøringen av den lokale økten på nytt;
Alle vil be om det samme settet med tillatelser.
Deretter vil de registrere tjenesten for å få tilgang til tilgjengelighetsarrangementer.
Konklusjon
I det raske tempoet i dagens liv kan du noen ganger savne et rødt tegn på skadelig programvare i en appbutikk. Til slutt ga CheckPoint Research Team korte råd om hvordan man kan unngå de ondsinnede appene, spesielt de som denne som er maskert som en AV-løsning:
- Rapporter umiddelbart alle mistenkelige apper du møter i butikken;
- Unngå å laste ned en applikasjon fra en ny utgiver, prøv i stedet å finne en tilsvarende fra en pålitelig utgiver;
- Installer bare applikasjoner fra pålitelige og kjente utgivere.
Selv om Google umiddelbart fjernet de skadelige programmene, var de allerede lastet ned 15,000 tusen ganger. Skaden er gjort. Faktum viser nok en gang at brukerbevissthet fortsatt bør tas i betraktning når man bestemmer seg for om man skal laste ned en app eller ikke.
