Malware na Androida atakuje rosyjskojęzycznych właścicieli biznesów

Doctor Web, rosyjska firma dostarczająca usługi ITSec, opublikowała na swojej stronie informacje o backdoorze na Androida udającym antywirusa targetowanego wyłącznie na użytkowników korzystających z urządzeń w języku rosyjskim.

Android.Backdoor.916.origin dystrybuowany jest jako antywirus o nazwie „GuardCB”. Ikona aplikacji nawiązuje do emblematu Banku Centralnego Federacji Rosyjskiej. Aplikacja posiada tylko jeden język – rosyjski. Badacze wykryli też inne wersje tego malware o nazwie „SECURITY_FSB”, „ФСБ” (FSB), próbujące podszywać się pod programy związane z bezpieczeństwem, powiązane z rosyjskimi organami ścigania.

Doctor Web twierdzi, że Android.Backdoor.916.origin został zaprojektowany z myślą o wykorzystaniu w ukierunkowanych atakach na przedstawicieli rosyjskich firm. Atakujący rozpowszechniają plik APK backdoora za pośrednictwem prywatnych wiadomości w komunikatorach. Po instalacji i uruchomieniu, Android.Backdoor.916.origin żąda dostępu do takich funkcji jak:

• geolokalizacja;
• nagrywanie dźwięku;
• dostęp do SMS-ów, kontaktów, historii połączeń, plików multimedialnych oraz uprawnienia do wykonywania połączeń;
• kamera (robienie zdjęć i nagrywanie wideo);
• uprawnienie do działania w tle;
• prawa administratora urządzenia;
• usługa Ułatwień dostępu.

Następnie malware udaje, że wykonuje skanowanie na urządzeniu i podaje losową liczbę wykrytych zagrożeń. Im więcej czasu upłynęło od poprzedniego „skanowania”, tym większa jest szansa na wykrycie „zagrożenia”.

long v = scanDataStore6.getLastScanTime();
if(new Random().nextDouble() >= Math.min(((double)(v <= 0L ? 24L : (System.currentTimeMillis() - v) / 3600000L)) / 100.0, 0.25) + 0.05) {
z = false;
}

Liczba rzekomo znalezionych wirusów ustalana jest losowo i wynosi od 1 do 3.

Następnie malware uruchamia wiele usług, przez które łączy się z serwerem command and control (C2), aby odbierać polecenia takie jak:

• wykradanie SMS-ów, kontaktów, historii połączeń, lokalizacji oraz zapisanych obrazów
• aktywacja mikrofonu, kamery i transmisji ekranu
• przechwytywanie wpisywanego tekstu oraz zawartości komunikatorów lub przeglądarek (Telegram, WhatsApp, Gmail, aplikacje Chrome i Yandex)
• wykonywanie poleceń shell, utrzymywanie obecności w systemie oraz włączanie mechanizmów samoobrony

Ciekawy jest też sposób samoobrony. Malware wykorzystuje usługę dostępności (Accessibility Service) do monitorowania ekranu urządzenia i blokuje próby odinstalowania lub zmiany ustawień, przenosząc użytkownika z powrotem do głównego ekranu. Informacje o takich próbach wysyła na serwer C2.

Dr. Web stwierdził, że malware cccccbrnbhkignutrkketrjvulvgjlcvrjjkernvvgvr

może przełączać się między 15 dostawcami hostingu, a choć funkcja ta nie jest obecnie aktywna, pokazuje, że zostało to zaprojektowane z myślą o odporności na próby unieszkodliwienia. 

Badacze nie podają źródła malware ani tego, czy może być ono częścią szerszej operacji.

Udostępniono pełne IoC (Identificators of Compromise) związane z Android.Backdoor.916.origin w repozytorium GitHub.

~Natalia Idźkowska