7/25/2019 sandrorat

1/8

PREVENITY 2014 Strona 1

Zoliwe oprogramowanie Sandrorat

(podszywajce si pod oprogramowanie Kaspersky)na platform Android

WYNIKI ANALIZY

4 sierpnia 2014 r.

W dniach 1 do 4 sierpnia 2014 r. poddalimy analizie oprogramowanie zoliwe podszywajce si pod

aplikacj antywirusow Kaspersky, skierowan na klientw bankowoci internetowej w Polsce

uytkownikw urzdze mobilnych z systemem Android.

Niniejszy dokument zawiera wyniki technicznej analizy oprogramowania rozsyanegodo uytkownikw

w ramach kampanii majcej na celu infekcj urzdze uytkownikw. Oprogramowanie to byo

rozsyane za porednictwem wiadomoci e-mail, jako zacznik kaspersky.apkdo zainstalowania na

urzdzeniu mobilnym ofiary.

Nazwa aplikacji: com.zero1.sandrorat

Wersja aplikacji: 1.5.2

Suma kontrolna MD5 aplikacji (paczka instalacyjna): 6DF6553B115D9ED837161A9E67146ECF

Aplikacja zostaa utworzona na platform Android 4.2, minimalna wersja systemu na ktrym

aplikacja si uruchomi to Android 2.2.

Kod rdowy aplikacji zosta napisany w jzyku Java oraz zosta poddany zaciemnianiu.

Nie stwierdzono, aby aplikacja korzystaa z przywilejw roota, lub przeprowadzaa prby rootowaniaurzdzenia. Ze wzgldu na moliwo instalacji dodatkowych aplikacji nie mona jednak wykluczy, e

intruz moe prbowa doinstalowa aplikacje, ktrych celem bdzie eskalacja uprawnie.

Lista uprawnie wymaganych przez aplikacj:

7/25/2019 sandrorat

2/8

PREVENITY 2014 Strona 2

Aplikacja tworzy trzy usugi systemowe:

oraz uruchamia si wraz ze startem systemu Android (BOOT_COMPLETED) lub przy kadorazowej

zmianie stanu poczenia z sieci Internet (CONNECTIVITY_CHANGED):

Po uruchomieniu aplikacja wywietla uytkownikowi ekran z jednym przyciskiem, natomiast w tle

uruchamia usug com.zero1.sandrorat.Controller.

Nastpnie, po odbiorze jednego z wymienionych wyej zdarze (BOOT_COMPLETED lub

CONNECTIVITY_CHANGED), aplikacja dziaa w nastpujcy sposb(w uproszczeniu):

1)

Jeeli zostao otrzymane zdarzenie BOOT_COMPLETED, wwczas uruchamiana jest usuga

com.zero1.sandrorat.Controller,

2)

W dalszych krokach, niezalenie od powyszego, jeeli kontekst aplikacjijest dostpny(paramContext != false), wwczas uruchamiana jest usuga Controller (j.w.), w przeciwnym

razie jest wysyane danie HTTP POST (http://winrar.nstrefa.pl/path/DeviceManager.php)z

poleceniemfunc=unregisterDevicewraz z identyfikatorem urzdzenia.

3)

Odczytywana jest konfiguracja aplikacji z pliku SQLite (SandroRat_Configuration_Database):

a.

MASTER_IP

7/25/2019 sandrorat

3/8

PREVENITY 2014 Strona 3

nie s uruchamiane/wykorzystywane od razu po instalacji aplikacji, natomiast czekaj one na

realizacj do czasu otrzymania komendy/polecenia z serwera C&C.

Funkcje aplikacji inicjuje klasa Controller na podstawie otrzymywanych komend (identyfikatory int)

oraz parametrw w postaci tablicy bajtw.

Zidentyfikowano ok. 40 polece sterujcych aplikacj, midzy innymi nastpujce polecenia:

Zmiana adresu MASTER_IP,

Zmiana portu MASTER_PORT,

Wczenia/wyczenia przechwytywania wiadomoci SMSi odczytu skrzynki

nadawczej/wysanych wiadomoci,

Wysyania wiadomoci SMS,

Odczytu danych kontaktowych,

Odczytu zakadek i historii wbudowanej przegldarki WWW,

Wczenia/wyczenia rejestrowania rozmw telefonicznych i otoczenia telefonu,

ledzenia informacji o realizowanych rozmowach telefonicznych,

Enumeracji kont obecnych w systemie (com.google),

ledzenia lokalizacji uytkownikana podstawie danych z sensora GPS,

Deszyfrowania wiadomoci WhatsApp przechowywanych na urzdzeniu,

Pobrania i inicjacji instalacji dodatkowego oprogramowania z karty SD,

Wymiany danych pomidzy urzdzeniem ofiary a serwerem C&C.

Kade z polece jest potwierdzane przez aplikacj odpowiedzi Ack (poprawne wykonanie) lub

NAck (niepoprawne wykonanie/wystpienie wyjtku).

Przykadowo, po uruchomieniu aplikacja rejestruje si do odbioru nastpujcych informacji:

- wiadomoci SMS

- informacji o odbieranych lub wykonywanych poczeniach telefonicznych

Analiza statyczna wykazaa obecno nastpujcego kodu do przechwytywania wiadomoci SMS:

7/25/2019 sandrorat

4/8

PREVENITY 2014 Strona 4

Aplikacja tworzy baz danych przechwyconych wiadomoci SMS:

Oraz baz danych kontaktw:

7/25/2019 sandrorat

5/8

PREVENITY 2014 Strona 5

Rejestruje rwnie aktualn lokalizacj ofiary:

Aplikacja nagrywa rwnie pliki dwikowe (najprawdopodobniej rozmowy telefoniczne do

potwierdzenia):

Oraz ledzi wykonywane rozmowy telefoniczne:

7/25/2019 sandrorat

6/8

PREVENITY 2014 Strona 6

Aplikacja odczytuje zakadki oraz histori wbudowanej w systemie Android przegldarki WWW:

Ktre zapisuje w bazie danych:

7/25/2019 sandrorat

7/8

PREVENITY 2014 Strona 7

Oraz jest w stanie pobra i zainicjowa instalacj dodatkowej aplikacji, ktr uruchamia nastpnie z

karty SD pod nazw update.apk:

Mona byo zidentyfikowa, e w/w kod bazuje na kodzie udostpnionym w serwisie StackOverflow:

http://stackoverflow.com/questions/4967669/android-install-apk-programmatically

Podsumowujc powysze, wykryto co najmniej nastpujce bazy danych tworzone przez aplikacj:

Wykryto obecne co najmniej dwa zaszyte w aplikacji adresy serwerw:

Do pierwszego z wymienionych adresw (winrar.ddns.net, port 1800) tworzone jest poczenie

socketowe.

http://stackoverflow.com/questions/4967669/android-install-apk-programmaticallyhttp://stackoverflow.com/questions/4967669/android-install-apk-programmaticallyhttp://stackoverflow.com/questions/4967669/android-install-apk-programmatically

7/25/2019 sandrorat

8/8

PREVENITY 2014 Strona 8

Na drugi z wymienionych adresw (http://winrar.nstrefa.pl/path/)nawizywana jest wikszo

komunikacji, po protokole HTTP.

W aplikacji wykryto zaszyte nastpujce klucze szyfrujce:

Analiza aplikacji wykazaa, e s one wykorzystywane przez malware do deszyfrowania wiadomoci

komunikatora Whatsapp, jeeli s one przechowywane na urzdzeniu uytkownika

(/mnt/sdcard/WhatsApp/Databases/msgstore.db.crypt5).

Podsumowujc, przeanalizowana prbka jest typowym oprogramowaniem zoliwym typu ko

trojaski z rozbudowan funkcjonalnoci dostpu zdalnego do urzdzenia ofiary.

http://winrar.nstrefa.pl/path/http://winrar.nstrefa.pl/path/http://winrar.nstrefa.pl/path/http://winrar.nstrefa.pl/path/