Dawno nie pisaliśmy o jednym z rosnących w siłę wektorów ataku, jakim jest dostarczanie zainfekowanych aplikacji przez legalną dystrybucję. Tymczasem przedwczoraj (31 maja 2023 r.) znaleźliśmy ostrzeżenia o atakach przeprowadzanych przez „prawilne” sklepy. Skala jest imponująca. Firma antywirusowa Dr. Web zidentyfikowała spyware w ponad 100 aplikacjach na system Android, które łącznie pobrano w Google Play ponad 421 milionów razy.
Dodajmy może w tym miejscu, iż Dr. Web jest rosyjskim dostawcą rozwiązań bezpieczeństwa IT, opracowującym oprogramowanie antywirusowe dla firm i do użytku osobistego. O ich odkryciach pisaliśmy na naszym portalu kilka razy.
Złośliwy moduł, nazwany przez Rosjan „SpinOk”, jest dystrybuowany jako marketingowe SDK. Na urządzeniach ofiar może zbierać informacje o plikach, wysyłać dane do atakujących i kraść zawartość schowka.
Moduł SpinOk oferuje minigry, zadania i rzekome nagrody, aby utrzymać zainteresowanie użytkowników aplikacjami.
Po uruchomieniu zestaw SDK łączy się z serwerem dowodzenia i kontroli (C&C) i wysyła zbiór informacji o urządzeniu, w tym dane z czujników, co pozwala mu definiować środowiska, w których działają emulatory. Odpowiedź serwera zawiera wiele adresów URL używanych do wyświetlania banerów reklamowych za pośrednictwem WebView.
Dodatkowo moduł może zbierać listę plików w określonych katalogach, sprawdzać obecność określonych plików i katalogów, przesyłać dane z urządzenia oraz kopiować lub zastępować zawartość schowka.
„Dzięki temu operatorzy trojana mogą uzyskiwać poufne informacje z urządzenia użytkownika – na przykład pliki, do których dostęp mają aplikacje z wbudowanym systemem Android.Spy.SpinOk. W tym celu osoby atakujące musiałyby dodać odpowiedni kod do strony HTML banera reklamowego” – wyjaśnia Doctor Web.
Szkodliwy moduł i modyfikacje zostały zidentyfikowane w sumie w 101 produktach w Google Play. Firma Google została powiadomiona i usunęła część aplikacji. W niektórych przypadkach tylko pewne wersje zawierały szkodliwy pakiet SDK.
Do najpopularniejszych aplikacji zawierających szkodliwy moduł należą Noizz (ponad 100 milionów instalacji), Zapya (ponad 100 milionów instalacji – kod był obecny w wersjach od 6.3.3 do 6.4), VFly (ponad 50 milionów pobrań), MVBit (więcej ponad 50 milionów instalacji) i Biugo (ponad 50 milionów pobrań).
Inny przykład infekcji przez Google Play
Z kolei w zeszłym tygodniu aplikacja do nagrywania ekranu, która zgromadziła ponad 50 000 pobrań w Google Play, została zainfekowana trojanem poprzez aktualizację. Nastąpiło to podobno w ubiegłym roku, o czym informuje ESET – inna firma zajmująca się antywirusami.
Aplikacja iRecorder – Screen Recorder została pierwotnie opublikowana w Google Play we wrześniu 2021 bez szkodliwych funkcji. Po aktualizacji do wersji 1.3.8 w sierpniu zeszłego roku do aplikacji wstrzyknięto trojana zdalnego dostępu opartego na AhMyth o nazwie AhRat.
Według ESET trojan AhRat, którego nie zaobserwowano nigdzie indziej, może nagrywać dźwięk dzięki mikrofonu i eksfiltrować nagrania oraz inne pliki z zainfekowanych urządzeń, co sugeruje wykorzystanie go w kampanii szpiegowskiej.
AhMyth to wieloplatformowy RAT używany wcześniej przez APT36, ugrupowanie cyberprzestępcze znane również jako Transparent Tribe i Mythic Leopard, ale AhRat zaobserwowany w tym incydencie nie mógł być powiązany z żadnym znanym trwałym zagrożeniem (APT).
Jednakże ponoć pierwsza złośliwa wersja iRecordera zawierała niezmodyfikowane części złośliwego kodu AhMyth RAT. Tak twierdzi ESET i dodaje, iż druga wersja zawierała dostosowany kod AhRat.
Obie wersje zawierały tylko ograniczony zestaw złośliwych funkcji w porównaniu z AhMyth RAT, który może eksfiltrować dzienniki połączeń, kontakty oraz wiadomości, wysyłać wiadomości, śledzić lokalizację urządzenia, uzyskiwać listę mieszczących się na nim plików, nagrywać dźwięk i robić zdjęcia.
Jako iż iRecorder zapewniał możliwość nagrywania wideo, posiadał niezbędne uprawnienia do rejestrowania dźwięku i dostęp do plików na urządzeniu, umożliwiając złośliwemu oprogramowaniu działanie bez problemów i bez wzbudzania podejrzeń.
Na podstawie poleceń otrzymanych z serwera dowodzenia i kontroli (C&C) złośliwe oprogramowanie mogło eksfiltrować pliki audio i wideo, dokumenty, strony internetowe i pliki archiwalne.
Oba te odkrycia miały miejsce na przestrzeni tygodnia. Widzimy wyraźnie, iż przestępcy zaczynają wykorzystywać legalne kanały dystrybucji do dostarczania backdoorów czy malware. Jest to na pewno trudne, ale też subtelniejsze i bardziej wyrafinowane. Do tej pory infekcja przez systemy pocztowe była najbardziej rozpowszechnioną metodą, ale ta, którą opisujemy, ze względu na skalę infekcji i trudności, jakie napotyka dystrybutor, żeby zidentyfikować zagrożenie, staje się wektorem ataku na równi godnym uwagi.