Novo Virus de celular

consultcorpitdrati.net

 


Novo Vírus de celular.



Apesar de tudo tome cuidado.










Figura 3: nomes de pastas para armazenar dados roubados no diretório privado do aplicativo

blog). Esta semana, o zLabs está alertando os usuários do Android sobre um novo aplicativo malicioso e sofisticado.

O novo malware se disfarça como um aplicativo de atualização do sistema e está roubando dados, mensagens, imagens e assumindo o controle de telefones Android. Uma vez no controle, os hackers podem gravar áudio e chamadas telefônicas, tirar fotos, revisar o histórico do navegador, acessar mensagens do WhatsApp e muito mais (uma lista completa está abaixo). 

O aplicativo “System Update” foi identificado por pesquisadores do zLabs que notaram um aplicativo Android sendo detectado pelo mecanismo de malware z9 que alimenta a detecção no dispositivo do zIPS . Após uma investigação, descobrimos que se trata de uma campanha de spyware sofisticada com recursos complexos. Também confirmamos com o Google que o aplicativo não estava e nunca esteve no Google Play.

Neste blog, vamos:

  • Cubra os recursos do spyware;
  • Discuta as técnicas usadas para coletar e armazenar dados; e
  • Mostre a comunicação com o servidor C&C para exfiltrar dados roubados.

O que o malware pode fazer?

O aplicativo móvel representa uma ameaça aos dispositivos Android por funcionar como um Trojan de acesso remoto (RAT) que recebe e executa comandos para coletar e exfiltrar uma ampla gama de dados e realizar uma ampla gama de ações maliciosas, como:

  • Roubo de mensagens de mensagens instantâneas;
  • Roubar arquivos de banco de dados de mensagens instantâneas (se o root estiver disponível);
  • Inspecionando os favoritos e pesquisas do navegador padrão;
  • Inspecionando o favorito e o histórico de pesquisa do Google Chrome, Mozilla Firefox e Samsung Internet Browser;
  • Pesquisa de arquivos com extensões específicas (incluindo .pdf, .doc, .docx e .xls, .xlsx);
  • Inspecionando os dados da área de transferência;
  • Inspecionar o conteúdo das notificações;
  • Gravação de áudio;
  • Gravação de chamadas telefônicas;
  • ire fotos periodicamente (pelas câmeras frontal ou traseira);
  • Lista dos aplicativos instalados; 
  • Roubo de imagens e vídeos;
  • Monitorando a localização GPS;
  • Roubo de mensagens SMS;
  • Roubar contatos telefônicos;
  • Roubo de registros de chamadas;
  • Exfiltrando informações do dispositivo (por exemplo, aplicativos instalados, nome do dispositivo, estatísticas de armazenamento); e
  • Ocultando sua presença, ocultando o ícone da gaveta / menu do dispositivo.

Como funciona o malware?

Após a instalação (de uma loja de terceiros, não da Google Play Store), o dispositivo é registrado no Firebase Command and Control (C&C) com detalhes como a presença ou ausência de WhatsApp, porcentagem da bateria, estatísticas de armazenamento, o token recebido do Serviço de mensagens do Firebase e o tipo de conexão com a Internet. 

As opções para atualizar as informações do dispositivo mencionadas existem como "update" e "refreshAllData", a diferença é que, em "update", as informações do dispositivo sozinhas estão sendo coletadas e enviadas para C&C, enquanto em "refreshAllData", um novo token Firebase também é gerado e exfiltrado. 

A funcionalidade do spyware e a exfiltração de dados são acionados sob várias condições, como um novo contato adicionado, um novo SMS recebido ou um novo aplicativo instalado usando contentObserver e receptores de transmissão do Android .

Os comandos recebidos por meio do serviço de mensagens do Firebase iniciam ações como a gravação de áudio do microfone e a exfiltração de dados, como mensagens SMS. A comunicação do Firebase é usada apenas para emitir os comandos, e um servidor C&C dedicado é usado para coletar os dados roubados usando uma solicitação POST.

Figura 1: código para analisar e executar os comandos do Firebase C&C (consulte IOCs)

O spyware está procurando por qualquer atividade de interesse, como uma chamada telefônica, para gravar imediatamente a conversa, coletar o registro de chamadas atualizado e, em seguida, fazer upload do conteúdo para o servidor C&C como um arquivo ZIP criptografado. Determinado a não deixar rastros de suas ações maliciosas, o spyware exclui os arquivos assim que recebe uma resposta de “sucesso” do servidor C&C ao receber com sucesso os arquivos carregados.

Figura 2: declaração do receptor de transmissão em AndroidManifest.xml

Os dados coletados são organizados em várias pastas dentro do armazenamento privado do spyware, localizadas em: “/ data / data / com.update.system.important / files / files / system / FOLDER_NAME” onde “FOLDER_NAME” é especificado como mostrado no imagem seguinte. 

Junto com o comando “re” para gravar o áudio do microfone, os parâmetros recebidos são “from_time” e “to_time,” que é usado para agendar um trabalho OneTimeWorkRequest para realizar a atividade maliciosa pretendida. Tal uso de agendamento de trabalho pode ser afetado por otimizações de bateria aplicadas em aplicativos pelo sistema operacional Android, devido ao qual, o spyware solicita permissão para ignorar otimizações de bateria e funcionar sem impedimentos. 

Figura 5: Código para evitar otimizações de bateria no aplicativo spyware

Estando muito preocupado com a atualização dos dados, o spyware não usa os dados coletados antes de um período fixo. 

Por exemplo, os dados de localização são coletados do GPS ou da rede (o que for mais recente) e se esse valor mais recente for há mais de 5 minutos, ele decide coletar e armazenar os dados de localização novamente. O mesmo se aplica às fotos tiradas com a câmera do aparelho, e o valor é definido para 40 minutos.

Figura 6: código para capturar uma foto usando a câmera se a última foto tirada foi há pelo menos 40 minutos

O spyware abusa dos Serviços de Acessibilidade do dispositivo (obtidos com a engenharia social ao solicitar aos usuários que habilitem os serviços de acessibilidade) para coletar detalhes de conversas e mensagens do WhatsApp ao raspar o conteúdo da tela após detectar o nome do pacote da janela superior correspondente ao WhatsApp (“com. Whatsapp"). Os dados coletados são armazenados em um banco de dados SQLite com um modelo, conforme ilustrado nas imagens abaixo.

Figuras 7: Os modelos de banco de dados para armazenar dados do Whatsapp

Além de coletar as mensagens usando os Serviços de Acessibilidade, se o acesso root estiver disponível, o spyware rouba os arquivos do banco de dados do WhatsApp copiando-os do armazenamento privado do WhatsApp. 

Figura 8: Os seis arquivos que são copiados do banco de dados do WhatsApp se a raiz estiver disponível

O spyware rouba ativamente os dados da área de transferência, registrando ouvintes da área de transferência da mesma forma que espia SMS, localização GPS, contatos, registros de chamadas e notificações. Os ouvintes, observadores e intenções transmitidas são usados ​​para acionar ações como gravar uma chamada telefônica e coletar as miniaturas de imagens / vídeos recém-capturados pela vítima. 

Figura 9: Código para roubar dados da área de transferência

O armazenamento do dispositivo Android é pesquisado em busca de arquivos menores que 30 MB e com extensões de arquivo da lista de tipos "interessantes" (.pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx) para serem copiados para o diretório privado do aplicativo e criptografado como uma pasta antes da exfiltração para o servidor C&C.

Figura 10: Código para pesquisar arquivos com extensão específica e tamanho menor que 30 MB

Uma capacidade agressiva do spyware é acessar e roubar o conteúdo em cache e armazenado no armazenamento externo. Na tentativa de não exfiltrar todas as imagens / vídeos, que geralmente podem ser muito grandes, o spyware rouba as miniaturas, que são muito menores. Isso também reduziria significativamente o consumo de largura de banda e evitaria mostrar qualquer sinal de exfiltração de dados pela Internet (ajudando a evitar a detecção). Quando a vítima está usando Wi-Fi, todos os dados roubados de todas as pastas são enviados para o C&C, enquanto quando a vítima está usando uma conexão de dados móvel, apenas um conjunto específico de dados é enviado para o C&C, conforme mostrado na Figura 12 .

Figura 11, 12: o código para coletar miniaturas e fazer uma lista de pastas para fazer upload de uma conexão de dados móvel

Além dos vários tipos de dados pessoais roubados da vítima, o spyware deseja mais dados privados, como os favoritos da vítima e o histórico de pesquisa de navegadores populares como o Google Chrome, Mozilla Firefox e o navegador de Internet Samsung.

Figura 13: Os provedores de conteúdo para consultar favoritos e pesquisas feitas pela vítima

Para identificar o nome do dispositivo da vítima, o spyware tenta comparar as informações coletadas de “Build.DEVICE” e “Build.MODEL” do dispositivo com uma lista de valores codificados que totalizam 112 nomes de dispositivos, conforme mostrado abaixo.

Figura 14: trecho de código para identificar o dispositivo combinando com uma lista de 112 dispositivos

O spyware cria uma notificação se a tela do dispositivo estiver desligada ao receber um comando usando o serviço de mensagens Firebase, conforme mostrado nas imagens abaixo. O “ Searching for update .. ” não é uma notificação legítima do sistema operacional, mas do spyware. 

Figura 15, 16: A notificação falsa e a comunicação com o servidor C&C

O spyware é capaz de realizar uma ampla gama de atividades maliciosas para espionar a vítima, enquanto se faz passar por um aplicativo de “atualização do sistema”. Ele exibe um recurso raramente visto antes, roubando miniaturas de vídeos e imagens, além do uso de uma combinação de Firebase e um servidor Command & Control dedicado para receber comandos e exfiltrar dados. 











Canal Youtube | Facebook | Twitter | 


0 Comentários