Sharkbot знову на плаву

Sharkbot знову на плаву

Нещодавно дослідники з команди Check Point Research (CPR) попередили користувачів про все ще наявну небезпеку шкідливого програмного забезпечення Sharkbot, знайденого цього року в Google Play. Хоча про знахідку було негайно повідомлено Google і шкідливе ПЗ було видалено, команда каже, що знайшли нові шкідливі програми Sharkbot.

Що таке шкідливе програмне забезпечення Sharkbot?

Sharkbot — це програма-стілер в Android, яка видає себе за антивірусне ПЗ в Google Play. Це зловмисне програмне забезпечення краде банківську інформацію та облікові дані, одночасно впроваджуючи геозони та інші методи ухилення, що в якомусь аспекті на фоні інших виділяє його. Також цікавий аспект, на який вказують фахівці з кібербезпеки — алгоритм генерації домену (DGA) — рідко використовується серед шкідливих програм Android.

На пристрої жертви зловмисне програмне забезпечення створює вікна, які імітують справжні форми введення облікових даних, заманюючи жертв ввести свої облікові дані.

Потім зламані дані надсилаються на шкідливий сервер. Sharkbot використовує свою функцію геозонування для націлювання лише на конкретних жертв, за винятком користувачів з України, Білорусі, Румунії, Росії, Індії та Китаю. Крім того, він не працюватиме, якщо виконується в пісочниці.

Sharkbot знову на плаву
Програми, які було виявлено шкідливими

У магазині Google Play команда CheckPoint Research (CPR) загалом виявила шість різних програм, які поширювали шкідливе програмне забезпечення. Згідно з інформацією, отриманою з www.appbrain.com, ці програми на момент виявлення вже були завантажені та встановлені приблизно 15 тисяч разів.

Трьох облікових записів розробників звинувачують у поширенні зловмисного програмного забезпечення: Bingo Like Inc, Adelmio Pagnotto та Zbynek Adamcik. Під час ретельної перевірки спеціалістів з кібербезпеки стало відомо, що два із згаданих акаунтів були активні вже восени 2021 року.

Sharkbot знову на плаву
Статистика кількості завантажених шкідливих програм

Деякі з програм, які, ймовірно, належали цим обліковим записам, було видалено з Google Play, але вони все ще існують на неофіційних сайтах. Фахівці з кібербезпеки пояснюють, що це може означати, що розробники Sharkbot намагаються залишатися якомога непоміченими, продовжуючи здійснювати шкідливу діяльність.

Технічний аналіз Sharkbot

Команди

Говорячи про основну функціональність шкідливого програмного забезпечення, Sharkbot працює з традиційними інструментами як для шкідливого ПЗ на Android. Фахівці з кібербезпеки знайшли 27 версій бота.

Загалом Sharkbot може реалізувати 22 команди. За допомогою сервера командування та керування (CnC) на зламаному пристрої хакери можуть виконувати різні типи шкідливих дій.
Можуть виконуватися такі команди:

  • removeApp

Насправді це не команда, а поле команди updateConfig. Під час виконання цієї команди сервер створює великий список програм, які слід видалити з пристрою жертви. Наразі список містить 680 назв додатків.

  • autoReply

Те саме, це не фактична команда, а поле в команді updateConfig. Під час цієї команди сервер надсилає повідомлення, що імітує відповідь на події push.

  • Swipe

Ця команда імітує рух користувача по екрану пристрою. Фахівці з кібербезпеки припускають, що це було зроблено, щоб дати можливість хакерам відкрити якусь програму або пристрій.

  • APP_STOP_VIEW

Тут CnC створює назви пакетів, а потім служба доступності не дозволяє користувачам отримати доступ до названих програм.

  • sendPush

Команда показує користувачеві push-повідомлення з призначеним текстом.

  • iWantA11

Вмикає службу доступності для Sharkbot.

  • getDoze

Вимикає оптимізацію акумулятора для пакета Sharkbot.

  • змінитиSmsAdmin

Збирає назви старих і використовуваних на даний момент програм SMS за замовчуванням для шкідливого ЧПУ.

  • збір контактів

Збирає та надсилає вкрадені контакти на шкідливі сервери.

  • видалити додаток

Ця команда видаляє названу програму в пакеті.

  • smsSend

Дія перевіряє, чи надано дозвіл на надсилання SMS. Якщо дозвіл надано, зловмисне програмне забезпечення може читати та надсилати SMS.

Є також деякі другорядні команди, що відповідають переважно за внутрішню роботу Sharkbot.

Sharkbot знову на плаву
Активність серверів Sharkbot зареєстрована командою

Мережа

Немає такої кількості шкідливих програм, які можуть працювати без зв’язку з сервером CnC. Шкідливе ПЗ як Sharkbot – це ті, кому потрібен зв’язок із CnC-сервером. І ось тут випливає один цікавий факт про цю шкідливу програму.

Коли в суб’єктів загрози заблокували всі свої сервери, вони можуть використовувати алгоритм генерації домену, який майже ніколи не використовується в шкідливих програмах Android, але Sharkbot є винятком.

DGA — це алгоритм, при якому зловмисний клієнт і зловмисник змінюють сервер CnC без будь-якого зв’язку. За допомогою цього алгоритму важче заблокувати сервери оператора шкідливого ПЗ.

DGA складатиметься з двох частин: фактичного алгоритму та констант, які використовує цей алгоритм. Константи називаються сідсами DGA.

  • Протокол і нок-пакет

Обмін на сервері CnC відбувається через HTTP із запитом POST на шляху /. І запити, і відповіді шифруються за допомогою RC4.

Час від часу в чітко встановлений проміжок бот надсилатиме нок-пакет на сервер. За замовчуванням пакет надсилатиметься кожні 30 секунд. Період часу можна змінити за допомогою команди updateTimeKnock.

Інфраструктура

Під час публікації звіту команда Check Point Research (CPR) виявила 8 IP-адрес, які в різний час використовували оператори Sharkbot.

Дослідники припускають, що насправді є один реальний сервер, а інші — просто реле. Пік активності шкідливого ПЗ зрісло у березні; Фахівці з кібербезпеки пов’язали цей факт з тодішнім активним використанням дроппера Sharkbot в Google Play.

Sharkbot знову на плаву
Статистика цілей Sharkbot

Згідно зі статистикою на основі розташування, основні цілі були у Сполученому Королівстві та Італії.

Дропери

Спочатку зловмисне програмне забезпечення завантажується та встановлюється під виглядом антивірусної програми. Потрапивши на машину жертви, Sharkbot виявляє емулятори, і якщо такий знайдений, він припиняє роботу.

У разі виявлення емулятора зв’язок з ЧПУ не відбудеться. Але зловмисне програмне забезпечення взагалі не працюватиме, якщо місцевістю є Україна, Білорусь, Росія, Румунія, Індія та Китай.

Та частина програми, яка контролюється сервером CnC, розуміє 3 команди:

  • Завантаження та встановлення файлу APK із наданої URL-адреси;
  • Зберігання поля автовідповіді в локальному сеансі;
  • Перезапуск локальної сесії.

Усі вони запитуватимуть однаковий набір дозволів.

Згодом вони зареєструють службу, щоб отримати доступ до Подій доступності.

Висновки

У швидкому темпі сучасного життя іноді можна пропустити червоний прапорець — ознака шкідливого програмного забезпечення в магазині додатків. На останок дослідницька група CheckPoint дала короткі поради щодо того, як уникнути шкідливих програм, особливо таких, як ця, маскована під антивірусне ПЗ:

  • Негайно повідомляйте про всі підозрілі програми, які ви зустрічаєте в магазині;
  • Уникайте завантаження програми від нового видавця, натомість спробуйте знайти аналогічний у надійного видавця;
  • Встановлюйте програми лише від перевірених і відомих видавців.

Незважаючи на те, що Google негайно видалив шкідливі програми, вони вже були завантажені 15 000 тисяч разів. Шкода завдана. Цей факт ще раз показує, що при прийнятті рішення про те, чи завантажувати програму чи ні, потрібно також покладатися на свою поінформованість.

Залишити коментар

Ваша e-mail адреса не оприлюднюватиметься.

Догори