Новый RAT-вор кражи банковских учетных данных для Android, маскирующийся под Google Service Framework

Малварь для Android медленно и уверенно начинает конкурировать с малварью для ПК. Безопасная компания FireEye выявила новую малварь для Android, которая маскируется под «Google Service Framework» и крадет банковские учетные данные пользователей Android. Что делает эту малварь, которая является RAT (инструмент удаленного доступа), уникальной, так это то, что она использует Google Service Framework для фактического отключения антивирусных приложений, работающих на смартфонах и планшетах Android.

FireEye сообщает, что обнаружение этого HijackRAT для кражи банковских учетных данных может быть признаком появления большего числа угроз для банковских операций на Android в будущем от его разработчика. FireEye заявила в блоге,

«В прошлом мы видели малварь для Android, которая выполняла утечку конфиденциальной информации, кражу банковских учетных данных или удаленный доступ отдельно, но этот образец поднимает малварь для Android на новый уровень, комбинируя все эти действия в одном приложении. Кроме того, - продолжили они, - мы обнаружили, что хакер разработал структуру для проведения захвата банков и активно развивает эту цель. Мы подозреваем, что в ближайшем будущем появится партия малвари для захвата банков, как только структура будет завершена. В настоящее время восемь корейских банков признаны злоумышленником, но хакер может быстро расшириться на новые банки всего за 30 минут работы.»

FireEye протестировала эту малварь с восемью банковскими приложениями Кореи и обнаружила, что как только малварь установлена на устройстве, сервер командования и управления отправляет команду заменить существующие банковские приложения. Банковские приложения для Android требуют установки ‘com.ahnlab.v3mobileplus’, антивирусного приложения, доступного в Google Play. FireEye заметила, что HijackRaT после установки отключила антивирусное приложение и затем заменила банковское приложение. Это поведение позволяет RAT избегать обнаружения после установки как со стороны антивирусного приложения, так и со стороны пользователя Android, который находится под впечатлением, что банковское приложение, которое он/она использует, является подлинным.

• *

Объясняя modus operandi этого RAT, блог говорит,

«Имя пакета этой новой малвари RAT (инструмент удаленного доступа) - “com.ll” и она появляется как “Google Service Framework” с иконкой по умолчанию Android, пользователи Android не могут удалить приложение, если не деактивируют его административные привилегии в ‘Настройки’. На данный момент, оценка Virus Total этого образца составляет всего пять положительных обнаружений из 54 антивирусных поставщиков. Такая новая малварь быстро публикуется, отчасти потому, что сервер CNC, который использует хакер, меняется так быстро.»

Работа малвари подробно описана в анализе на блоге FireEye, однако мы попытаемся кратко объяснить ее работу. Как только приложение с вредоносным кодом установлено, иконка Google Services появляется на главном экране. Когда пользователь Android нажимает на эту иконку, появляется новый экран, запрашивающий административные привилегии, как и любое другое приложение Android. Как только пользователь принимает и предоставляет малвари привилегии, опция удаления отключается, и запускается новая служба под названием “GS”. Однако это всего лишь маскировка для малвари, если пользователь нажимает на иконку GS, устройство выдает сообщение “Приложение не установлено” и затем удаляет себя с главного экрана. Теперь HijackRAT в действии, и если пользователь в сети, в течение нескольких минут приложение соединяется с сервером командования и управления, расположенным в Гонконге, и получает от него список задач. FireEye сообщает, что отслеживала IP-адрес до Гонконга, но не идентифицировала автора/владельца малвари, но, основываясь на пользовательском интерфейсе малвари, они считают, что обе малвари, вероятно, были написаны корейцем и в настоящее время нацелены только на корейских пользователей.

«Мы не можем сказать, является ли это IP-адресом хакера или IP-адресом жертвы, контролируемым RAT, но URL называется в честь идентификатора устройства и UUID, сгенерированного сервером CNC,»

Задачи, которые необходимо выполнить, заключаются в том, чтобы попытаться загрузить приложение, названное ‘update’ и сокращением названия банка, с сервера командования и управления, одновременно удаляя оригинальное банковское приложение. Когда команда на ‘обновление’ отправляется с инструмента удаленного доступа, аналогичное приложение – ‘update.apk’ загружается с сервера командования и управления и устанавливается на устройстве Android. Малварь также отправляет все данные пользователя владельца устройства Android на сервер C & C. Эти данные включают номера телефонов, идентификаторы устройств, MAC-адреса и списки контактов, доступные на смартфоне или планшете.

• *

«Учитывая уникальную природу того, как работает это приложение, включая его способность извлекать несколько уровней личной информации и выдавать себя за банковские приложения, более серьезная угроза мобильного банкинга может быть на горизонте,»

Рост малвари для кражи банковских учетных данных не вызывает удивления, но уровень изобретательности и сложность, с которой малварь выполняет свой код для подключения к серверу C & C, является тревожным знаком для Google, аналитиков безопасности и сообщества Android.