Вашият смартфон работи за някой друг. Добре дошли в ерата на MaaS.
С нарастващата популярност на Android смартфоните в развиващите се страни и все по-голямата наличност на магазини за приложения на трети страни, киберпрестъпниците стартираха мащабна кампания, която съчетава два опасни подхода – кражба на удостоверения и измама с кликване – в скрита, но изключително печеливша атака със зловреден софтуер.

Използвайки специално създадени APK файлове, те маскират зловредния софтуер като легитимни приложения и ги разпространяват извън официалните канали, включително чрез фишинг имейли и фалшиви промоционални страници на популярни брандове.

Самите приложения са представени като популярни услуги, приложения за награди, помощни програми, хазартни игри или инструменти от известни компании, което засилва доверието на потребителите. Инсталирайки подобно приложение, жертвата всъщност получава достъп до различни системни ресурси – от геолокация и списъци с контакти до дневници на повикванията и уникални идентификатори на устройствата. Освен че събират чувствителна информация, тези програми стартират скрити механизми за подправяне на трафика и автоматично взаимодействат с рекламните системи, генерирайки изкуствени кликвания, изгледи и инсталации.

При анализа бяха разкрити множество APK файлове с различна степен на сложност на изпълнение, но с обща архитектура и принадлежащи към един и същ клъстер от зловреден софтуер. Някои образци са фокусирани единствено върху генерирането на фалшиви рекламни взаимодействия, с малко или никакви други функции. Други са насочени към кражба на идентификационни данни, като имитират интерфейси на банкови или социални услуги.

Има и такива, които тайно събират потребителските данни, като се представят за игри или комунални услуги. Съществуват дори програми, които обещават награди за прости действия, но злоупотребяват с разрешенията и тайно предават информация на отдалечени сървъри. Отделна категория се състои от хазартни приложения, които се крият зад законови вратички и събират както финансови, така и лични данни.

Един от най-забележителните случаи е свързан с фалшив клиент за Facebook, разпространяван чрез фалшиви страници с адреси, имитиращи официалните, и използващ набор от разрешения, включително достъп до точното местоположение, под прикритието на системни компоненти.

След като бъде инсталирано, приложението изтегля конфигурации, криптирани с AES-ECB, и променя поведението си в зависимост от средата на изпълнение: когато работи във виртуализирани системи или емулатори като Genymotion, то може да забави активирането на зловредния полезен товар или изобщо да не е активно. В реална среда приложението установява връзка със сървърите за управление, маскирани като услуги за събиране на телеметрия, и предава данни за платформата, местоположението, метаданните на потребителя и други параметри.

Техническият анализ разкрива използването на ApkSignatureKillerEx – инструмент, който заобикаля проверката на подписа на пакета за Android и инжектира вторични компоненти, като например скрита „origin.apk“, работеща във фонов режим. Зловредната мрежова инфраструктура е организирана около сегментирани поддомейни с йерархична структура и адаптивно поведение. Някои екземпляри са специфични за дадена държава или език, което предполага целенасочена стратегия. Кодът съдържа елементи на опростен китайски език, сървърите са разположени в Alibaba Cloud, а архитектурата следва модела „зловреден софтуер като услуга“ (MaaS) – с възможност за мащабиране на атаките и използване на откраднати данни в бъдеще.

Според доклад на Trustwave кампанията съчетава два мощни мотива – финансова печалба чрез рекламни измами и стратегическо събиране на идентификационни данни за евентуални бъдещи атаки. Това подчертава хибридния характер на днешните заплахи: повърхностната дейност може да бъде прикритие за много по-дълбока и дългосрочна експлоатация.

За да се сведат до минимум рисковете, експертите препоръчват да се инсталират приложения само от доверени източници, да се обръща внимание на предложения за изтегляне на APK файлове от съобщения или промоции и внимателно да се анализират исканите разрешения.