Οι τροποποιημένες εκδόσεις εφαρμογών για κινητά είναι πολύ συνηθισμένες στον κόσμο των κινητών τηλεφώνων. Αυτές οι εφαρμογές μπορεί να προσφέρουν επιπλέον δυνατότητες και ρυθμίσεις, μειωμένες τιμές ή να είναι διαθέσιμες σε μεγαλύτερο εύρος αγορών σε σύγκριση με την αρχική τους εφαρμογή. Η προσφορά τους μπορεί να είναι αρκετά ελκυστική ώστε να δελεάσει αφελείς χρήστες να τις εγκαταστήσουν μέσω ανεπίσημων εξωτερικών καταστημάτων εφαρμογών.
Ο κίνδυνος από την εγκατάσταση τροποποιημένων εκδόσεων προέρχεται από το γεγονός ότι ο χρήστης είναι αδύνατο να γνωρίζει ποιες αλλαγές έγιναν στον κώδικα της εφαρμογής. Για να είμαστε πιο ακριβείς – είναι άγνωστο ποιος κώδικας προστέθηκε και αν έχει κακόβουλη πρόθεση.
Η ερευνητική ομάδα της Check Point για κινητά ανακάλυψε πρόσφατα μια τροποποιημένη έκδοση της δημοφιλούς εφαρμογής Telegram Messenger για Android. Η κακόβουλη εφαρμογή εντοπίστηκε και αποκλείστηκε από το Harmony Mobile. Αν και μοιάζει αθώα, αυτή η τροποποιημένη έκδοση είναι ενσωματωμένη με κακόβουλο κώδικα που συνδέεται με το Trojan Triada. Το Trojan Triada, το οποίο εντοπίστηκε για πρώτη φορά το 2016, είναι μια σπονδυλωτή κερκόπορτα για το Android που παρέχει προνόμια διαχειριστή για τη λήψη άλλου κακόβουλου λογισμικού.
Telegram 9.2.1 – Τροποποιημένο με Triada Trojan
Η τέλεια μεταμφίεση
Το κακόβουλο λογισμικό μεταμφιέζεται σε Telegram Messenger έκδοση 9.2.1. Έχει το ίδιο όνομα πακέτου (org.telegram.messenger) και το ίδιο εικονίδιο με την αρχική εφαρμογή Telegram. Κατά την εκκίνηση, ο χρήστης εμφανίζεται με την οθόνη ελέγχου ταυτότητας του Telegram, του ζητείται να εισάγει τον αριθμό τηλεφώνου της συσκευής και να χορηγήσει στην εφαρμογή δικαιώματα τηλεφώνου.
Αυτή η διαδικασία μοιάζει με την πραγματική διαδικασία ελέγχου ταυτότητας της αρχικής εφαρμογής Telegram Messenger. Ο χρήστης δεν έχει κανέναν λόγο να υποψιαστεί ότι συμβαίνει κάτι ασυνήθιστο στη συσκευή.
Εικόνα 1: Το κακόβουλο λογισμικό μεταμφιέζεται ως εφαρμογή Messenger Telegram
Στο Παρασκήνιο
Η στατική ανάλυση των εφαρμογών δείχνει ότι κατά την εκκίνηση της εφαρμογής, ένας κακόβουλος κώδικας εκτελείται στο παρασκήνιο, μεταμφιεσμένος ως εσωτερική υπηρεσία ενημέρωσης εφαρμογών.
Εικόνα 2: Ο κακόβουλος κώδικας μεταμφιεσμένος ως υπηρεσία ενημέρωσης
Το κακόβουλο λογισμικό συλλέγει πληροφορίες για τη συσκευή, δημιουργεί ένα κανάλι επικοινωνίας, κατεβάζει ένα αρχείο ρυθμίσεων και περιμένει να λάβει το ωφέλιμο φορτίο από τον απομακρυσμένο διακομιστή.
Εικόνα 3: Το κακόβουλο λογισμικό κατεβάζει το ωφέλιμο φορτίο
Εικόνα 4: Το κακόβουλο λογισμικό φορτώνει το ωφέλιμο φορτίο
Μόλις το payload αποκρυπτογραφηθεί και ξεκινήσει – Το Triada αποκτά προνόμια συστήματος, τα οποία του επιτρέπουν να εισχωρεί σε άλλες διεργασίες και να εκτελεί πολλές κακόβουλες ενέργειες.
Προηγούμενες έρευνες που πραγματοποιήθηκαν σε payloads Triada παρουσίασαν τις ποικίλες κακόβουλες ικανότητες του Triada. Αυτές περιλαμβάνουν την εγγραφή του χρήστη σε διάφορες συνδρομές επί πληρωμή, την πραγματοποίηση αγορών εντός της εφαρμογής χρησιμοποιώντας τα SMS και τον αριθμό τηλεφώνου του χρήστη, την εμφάνιση διαφημίσεων (συμπεριλαμβανομένων αόρατων διαφημίσεων που εκτελούνται στο παρασκήνιο) και την κλοπή διαπιστευτηρίων σύνδεσης και άλλων πληροφοριών χρήστη και συσκευής.
Πώς να προστατεύσετε τη συσκευή σας από Trojan Malwares
- Κατεβάζετε πάντα τις εφαρμογές σας από αξιόπιστες πηγές, είτε πρόκειται για επίσημες ιστοσελίδες είτε για επίσημα καταστήματα και αποθετήρια εφαρμογών.
- Ελέγξτε ποιος είναι ο συγγραφέας και δημιουργός της εφαρμογής πριν τη λήψη. Μπορείτε να διαβάσετε σχόλια και αντιδράσεις προηγούμενων χρηστών πριν από τη λήψη
- Να είστε προσεκτικοί με τις άδειες που ζητούνται από την εγκατεστημένη εφαρμογή και αν είναι πράγματι απαραίτητες για τη λειτουργία της πραγματικής εφαρμογής.
Το Check Point Harmony Mobile™ είχε ανιχνεύσει και ήδη ειδοποιήσει επιτυχώς για τη νέα παραλλαγή Triada από τις αρχές Νοεμβρίου του περασμένου έτους – πριν από οποιονδήποτε άλλο προμηθευτή στο VirusTotal!
Συγκεντρώσαμε επίσης μια συλλογή IOC δειγμάτων Triada στο VT:
References:
https://blog.checkpoint.com/research/in-the-wild-mobile-malware-implements-new-features/
https://securelist.com/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/74032/
https://security.googleblog.com/2019/06/pha-family-highlights-triada.html
https://securelist.com/triada-trojan-in-whatsapp-mod/103679/