Viking Horde: nowe zagrożenie w sklepie Google Play #prasówka

Viking Horde: nowe zagrożenie w sklepie Google Play #prasówka

Viking Horde: nowe zagrożenie w sklepie Google Play #prasówka
Łukasz Maślanka
12.05.2016 14:21, aktualizacja: 12.05.2016 14:37

Zespół badawczy firmy Check Point odkrył w sklepie Google Play serię nowych ataków w postaci szkodliwego oprogramowania na Androida, zwaną Hordą Wikingów (ang. Viking Horde). Horda Wikingów służy do publikowania nieuczciwych reklam, ale może być wykorzystywana także do innych celów – ataków DDoS, wysyłania spamu i nie tylko. Do tej pory co najmniej pięć instancji Hordy Wikingów ominęło zabezpieczenia sklepu Google Play.

Obraz

Według doniesień Check Pointa, firmy specjalizującej się w zabezpieczeniach sieciowych, aplikacje zawierające malware Viking Horde mogą tworzyć wirusa - botneta, który używa adresów IP za proxy do ukrywania kliknięć w reklamy, generując przychody dla atakującego. Innymi słowy tworzy sieć urządzeń kontrolowanych przez hakerów bez wiedzy ich posiadaczy! Boty są używane z różnych powodów, bazując na rozproszonych możliwościach obliczeniowych wszystkich zainfekowanych urządzeń. Im większy jest botnet, tym ma większe możliwości. Co więcej, na zrootowanych urządzeniach Horda Wikingów pobiera dodatkowe złośliwe oprogramowanie, które może zrealizować zdalnie dowolny kod, potencjalnie mogący zagrozić bezpieczeństwu danych zapisanych na urządzeniu. Ponadto korzysta z uprawnień roota, aby utrudnić – a nawet uniemożliwić – usunięcie wirusa ręcznie!

Obecnie najpopularniejszą aplikacją powiązaną z Hordą Wikingów jest Viking Jump, która została dodana do sklepu Google Play 15 kwietnia i ma między 50-100 tys. pobrań. Na niektórych rynkach Viking Jump jest najpopularniejszą darmową aplikacją w Google Play. Najstarszą wersją Hordy Wikingów jest z kolei aplikacja Wi-Fi Plus, którą dodano do sklepu Google Play 29 marca. Inne aplikacje powiązane z Hordą Wikingów to między innymi Memory Booster, Parrot Copter i Simple 2048.

Wszystkie zainfekowane aplikacje mają stosunkowo niskie oceny, co według ekspertów może wynikać z faktu, że użytkownicy zauważyli ich niepokojące działania, takie jak prośby o zezwolenie na korzystanie z uprawnień administratora. Zespół badawczy firmy Check Point zgromadził dane dotyczące lokalizacji ofiar z jednego z wielu serwerów C&C (ang. Command & Control – zarządzaj i kontroluj), używanych przez atakujących. Według tych danych, botnet stworzony przez hakerów rozprzestrzenił się już po całym świecie, a największą jego część stanowią urządzenia rosyjskie (44%), hiszpańskie (12%) i libańskie (10%).

Obraz

Jak działa Horda Wikingów

Zespół badawczy może zrekonstruować przebieg procesu szkodliwego oprogramowania na podstawie badań kodu Hordy Wikingów i serwerów Dowództwa i Kontroli (C&C’s), wykorzystywanych do ataków.

  • Najpierw wirus jest pobierany ze sklepu Google Play. Podczas ładowania gry, aplikacja instaluje jednocześnie kilka komponentów spoza katalogu aplikacji. Komponentom przyznawane są losowe nazwy, zawierające pseudo-systemowe słowa z ustalonej listy, takie jak core.bin, clib.so, android.bin czy update.bin. Są one instalowane na karcie SD – jeśli urządzenie nie jest zrootowane – i na root/data – jeśli jest. Jeden z tych plików służy do wymiany informacji pomiędzy szkodliwymi komponentami. Drugi plik zawiera listę wygenerowanych nazw komponentów, czyniąc je dostępnymi dla pozostałych kompotentów.img=vh3
  • Szkodliwy program sprawdza następnie czy urządzenie jest zrootowane. Jeśli tak, wirus uruchamia dwa dodatkowe elementy: app_exec – Zawiera implementację protokołu komunikacji z serwerem; app_exec_watch_dog – Zawiera mechanizm aktualizacji i utrzymania. Watchdog monitoruje proces app_exec i, w razie potrzeby, uruchamia go ponownie.Jeśli urządzenie nie zostało zrootowane, wirus instaluje plik app_exec jako współdzieloną bibliotekę i wywołuje jej funkcje poprzez JNI (Java Native Interface), która pozwala Javie na uruchamianie natywnych plików wykonywalnych. W obydwu scenariuszach, po zainstalowaniu app_exec, ustanawia ona połączenie TCP z serverem C&C i rozpoczyna komunikację. Komunikacja składa się z następujących komend: Pong (co 10 sekund aplikacja wysyła 5 bajtów danych do serwera. Serwer odpowiada tymi samymi 5 bajtami), Aktualizacja informacji o urządzeniu (wirus wysyła do serwera informację o stanie baterii, typie połączenia i numerze telefonu)
  • Kolejnym krokiem jest uruchomienie kluczowej złośliwej funkcjonalności za pomocą stworzenia anonimowego połączenia proxy. Serwer C&C wysyła komendę „create_proxy” z dwoma adresami IP i portami jako parametrami. Te adresy IP są wykorzystywane do otwarcia dwóch gniazd – jednego do zdalnego serwera (który jest klientem botneta, wykorzystującego anonimowe proxy) i drugiego na urządzeniu docelowym. Następnie odczytuje dane otrzymane z pierwszego gniazda i przekazuje je do docelowego hosta. Używając tej techniki, twórca szkodliwego oprogramowania (lub osoba używająca tego botneta w charakterze „wirusa jako usługi”) może ukryć swój adres IP za adresem IP zainfekowanego urządzenia.

Należy mieć świadomość, że nawet jeśli urządzenie nie jest zrootowane, Horda Wikingów zmienia je w proxy zdolne do wysyłania i otrzymywania informacji na komendę atakującego. Poniżej przedstawiony jest przykład zarażonego urządzenia z perspektywy atakującego C&C. Zdalne IP to IP proxy, a IP gniazda to IP serwera C&C. Serwer C&C zawiera pewne informacje o urządzeniu, włączając wersję systemu operacyjnego, stanu poziomu baterii i współrzędnych z GPS. W tym przypadku urządzenie znajduje się w USA w sieci T-Mobile.Botnet jest kontrolowany przez wiele serwerów C&C, a każdy zarządza kilkoma setkami urządzeń. Podstawowym celem tego szkodliwego oprogramowania jest przechwycenie urządzenia, aby następnie używać go do symulowania kliknięć w reklamy na stronach internetowych i kumulować zyski. Wirus potrzebuje proxy, żeby ominąć mechanizmy zwalczania nadużyć Ad-Nets, wykorzystując rozproszone adresy IP.

Niektórzy użytkownicy w komentarzach twierdzą, że aplikacja wysyła także dodatkowo płatne wiadomości SMS, jak widać na zrzucie z ekranu poniżej. Ten botnet może być używany do różnych nieuczciwych celów, takich jak ataki DDoS, wysyłanie spamu i dostarczanie szkodliwego oprogramowania.

Wikingowie są Uporczywą Hordą

Wirus używa kilku technik w celu utrzymania się na urządzeniu. Po pierwsze, Horda Wikingów instaluje rozmaite komponenty o nazwach nawiązujących do systemowych, przez co są trudniejsze do zlokalizowania i odinstalowania. Jeśli urządzenie jest zrootowane, funkcjonują jeszcze dwa dodatkowe mechanizmy:

  • Komponent app_exec monitoruje obecność głównej aplikacji. Jeśli użytkownik odinstaluje główną aplikację, app_exec dekoduje komponent nazwany com.android.security i niepostrzeżenie go instaluje. Komponent ten będzie ukryty, działając w tle. Jest on kopią siebie i posiada takie same możliwości.
  • Komponent watchdog instaluje aktualizacje app_exec. Jeśli app_exec zostanie usunięta, watchdog zainstaluje ją ponownie z folderu aktualizacji.

Najwidoczniej niektórzy z użytkowników odkryli jeszcze jedną funkcję złośliwego oprogramowania, czyli odatkowy komponent na zrootowane urządzenia. Możliwe, że najbardziej niebezpieczną funkcjonalnością jest mechanizm aktualizowania. Mechanizm ten jest podzielony pomiędzy oba komponenty: app_exec i watchdog. App_exec pobiera nowe pliki z serwera i zapisuje je w katalogu /data z nazwą app_exec_update. Watchdog cyklicznie sprawdza czy istnieje aktualizacja pliku – jeśli tak, nadpisuje plik app_exec. Oznacza to, że na polecenie serwera, Horda Wikingów pobiera nowy plik wykonywalny. Komponent watchdog będzie zastępował nim aplikację. Pozwala to na pobieranie i wykonywanie dowolnego kodu zdalnie na urządzeniu.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (0)