Введение
Эксперты достаточно часто сталкиваются с вредоносным ПО для мобильных устройств. было заблокировано 33,8 миллиона атак с использованием вредоносных, рекламных и потенциально опасных программ на мобильных устройствах. Одна из самых громких атак, стала , целью которой были устройства под iOS, но это скорее редкий случай.Если говорить о мобильных платформах, то наиболее популярной целью злоумышленников остается Android. В этой статье кратко расскажем о трех закрытых отчетах о таких приложениях.
Tambir
Tambir – бэкдор для Android, который атакует пользователей из Турции. Она маскируется под IPTV-плеер, но заявленных функций не выполняет. На самом деле это полноценная шпионская программа, которая, в числе прочего, крадет SMS-сообщения и отслеживает набираемый текст.При запуске приложения на экране появляется запрос на турецком языке на доступ к специальным возможностям. Получив все необходимые разрешения, программа получает адрес командного сервера из открытого источника (например, из Telegram, ICQ или Twitter/X), после чего значок приложения меняется на значок YouTube.
Зашифрованный адрес C2 в приглашении в чат
Tambir может выполнять более 30 команд, например включать и выключать функцию кейлоггера, запускать приложения, отправлять SMS-сообщения и набирать номер.
Мы обнаружили некоторые сходства между зловредами Tambir и . Они оба атакуют пользователей из Турции и получают адрес командного сервера из Telegram, однако возможности Tambir гораздо шире.
Dwphon
В ноябре 2023 года нам попался еще один образец вредоносного ПО для Android, который атаковал устройства китайских OEM-производителей. Большинство таких устройств реализуются на российском рынке. Ранее этот же зловред нашли в прошивке детских смарт-часов от израильского производителя, которые распространялись в Европе и странах Ближнего Востока.Dwphon маскируется под системный компонент для обновления приложений и имеет ряд признаков предустановленного вредоносного ПО для Android. В частности, этот зловред собирает персональные данные, а также сведения об устройстве и установленных сторонних приложениях. Точный путь заражения пока не ясен, однако есть подозрение, что вредоносное приложение было встроено в прошивку в результате возможной атаки через цепочку поставок.
Зловред состоит из нескольких модулей с разными функциями:
- Основной модуль. Собирает сведения о системе (например, IMSI, язык системы и другие) и передает их на командный сервер. Может устанавливать, загружать и удалять приложения, скачивать файлы, показывать всплывающие окна и выполнять другие команды.
- Модуль DsSdk. Еще один модуль, собирающий данные об устройстве. У этого модуля отдельный командный сервер, и он не может принимать команды.
- Модуль ExtEnabler. Этот модуль запускает другие приложения и следит за ними. Одна из его задач — оправлять широковещательные сообщения при запуске приложения. Из всех образцов, которые мы проверили, код приемника был только в одном. В нем же мы нашли , что говорит о возможной связи между Dwphon и Triada, однако убедительных доказательств этого у нас нет.
Gigabud
Gigabud – троянец для удаленного доступа (RAT) под Android, активный как минимум с середины 2022 года, но впервые обнаруженный только в январе 2023-го. Сначала он собирал банковские данные пользователей из Юго-Восточной Азии под видом приложения местной авиакомпании, затем он появился в других странах, в том числе в Перу, и стал выдавать себя за приложение для получения кредита.Зловред был написан на языке Kotlin и изначально обфусцировался с помощью Dexguard, а позже – посредством Virbox. Существует несколько вариантов троянца, которые маскируются под официальные приложения различных организаций из Перу, Таиланда и других стран. При запуске зловреда на экране появляется форма для входа в учетную запись имитируемого приложения. Полученные учетные данные отправляются на командный сервер вместе с информацией об устройстве. Затем виртуальный ассистент помогает пользователю отправить заявку на получение кредита.
После этого приложение просит пользователя включить специальные возможности (если они еще не включены), с помощью которых оно и крадет учетные данные и успешно обходит двухфакторную аутентификацию, имитируя события касания.
Информация, которую крадет Gigabud
Gigabud не только крадет учетные данные, но и записывает видео экрана с помощью специального модуля. Его основная функция – извлечь учетные данные с зараженного устройства посредством трансляции экрана через WebSocket или RTMP на командный сервер.
Gigabud содержит многочисленные артефакты на китайском языке. Например, журнальные сообщения и сертификат подписи файла APK. Кроме того, командные серверы троянца находятся в Китае.
