sandrorat
Transcript of sandrorat
-
7/25/2019 sandrorat
1/8
PREVENITY 2014 Strona 1
Zoliwe oprogramowanie Sandrorat
(podszywajce si pod oprogramowanie Kaspersky)na platform Android
WYNIKI ANALIZY
4 sierpnia 2014 r.
W dniach 1 do 4 sierpnia 2014 r. poddalimy analizie oprogramowanie zoliwe podszywajce si pod
aplikacj antywirusow Kaspersky, skierowan na klientw bankowoci internetowej w Polsce
uytkownikw urzdze mobilnych z systemem Android.
Niniejszy dokument zawiera wyniki technicznej analizy oprogramowania rozsyanegodo uytkownikw
w ramach kampanii majcej na celu infekcj urzdze uytkownikw. Oprogramowanie to byo
rozsyane za porednictwem wiadomoci e-mail, jako zacznik kaspersky.apkdo zainstalowania na
urzdzeniu mobilnym ofiary.
Nazwa aplikacji: com.zero1.sandrorat
Wersja aplikacji: 1.5.2
Suma kontrolna MD5 aplikacji (paczka instalacyjna): 6DF6553B115D9ED837161A9E67146ECF
Aplikacja zostaa utworzona na platform Android 4.2, minimalna wersja systemu na ktrym
aplikacja si uruchomi to Android 2.2.
Kod rdowy aplikacji zosta napisany w jzyku Java oraz zosta poddany zaciemnianiu.
Nie stwierdzono, aby aplikacja korzystaa z przywilejw roota, lub przeprowadzaa prby rootowaniaurzdzenia. Ze wzgldu na moliwo instalacji dodatkowych aplikacji nie mona jednak wykluczy, e
intruz moe prbowa doinstalowa aplikacje, ktrych celem bdzie eskalacja uprawnie.
Lista uprawnie wymaganych przez aplikacj:
-
7/25/2019 sandrorat
2/8
PREVENITY 2014 Strona 2
Aplikacja tworzy trzy usugi systemowe:
oraz uruchamia si wraz ze startem systemu Android (BOOT_COMPLETED) lub przy kadorazowej
zmianie stanu poczenia z sieci Internet (CONNECTIVITY_CHANGED):
Po uruchomieniu aplikacja wywietla uytkownikowi ekran z jednym przyciskiem, natomiast w tle
uruchamia usug com.zero1.sandrorat.Controller.
Nastpnie, po odbiorze jednego z wymienionych wyej zdarze (BOOT_COMPLETED lub
CONNECTIVITY_CHANGED), aplikacja dziaa w nastpujcy sposb(w uproszczeniu):
1)
Jeeli zostao otrzymane zdarzenie BOOT_COMPLETED, wwczas uruchamiana jest usuga
com.zero1.sandrorat.Controller,
2)
W dalszych krokach, niezalenie od powyszego, jeeli kontekst aplikacjijest dostpny(paramContext != false), wwczas uruchamiana jest usuga Controller (j.w.), w przeciwnym
razie jest wysyane danie HTTP POST (http://winrar.nstrefa.pl/path/DeviceManager.php)z
poleceniemfunc=unregisterDevicewraz z identyfikatorem urzdzenia.
3)
Odczytywana jest konfiguracja aplikacji z pliku SQLite (SandroRat_Configuration_Database):
a.
MASTER_IP
-
7/25/2019 sandrorat
3/8
PREVENITY 2014 Strona 3
nie s uruchamiane/wykorzystywane od razu po instalacji aplikacji, natomiast czekaj one na
realizacj do czasu otrzymania komendy/polecenia z serwera C&C.
Funkcje aplikacji inicjuje klasa Controller na podstawie otrzymywanych komend (identyfikatory int)
oraz parametrw w postaci tablicy bajtw.
Zidentyfikowano ok. 40 polece sterujcych aplikacj, midzy innymi nastpujce polecenia:
Zmiana adresu MASTER_IP,
Zmiana portu MASTER_PORT,
Wczenia/wyczenia przechwytywania wiadomoci SMSi odczytu skrzynki
nadawczej/wysanych wiadomoci,
Wysyania wiadomoci SMS,
Odczytu danych kontaktowych,
Odczytu zakadek i historii wbudowanej przegldarki WWW,
Wczenia/wyczenia rejestrowania rozmw telefonicznych i otoczenia telefonu,
ledzenia informacji o realizowanych rozmowach telefonicznych,
Enumeracji kont obecnych w systemie (com.google),
ledzenia lokalizacji uytkownikana podstawie danych z sensora GPS,
Deszyfrowania wiadomoci WhatsApp przechowywanych na urzdzeniu,
Pobrania i inicjacji instalacji dodatkowego oprogramowania z karty SD,
Wymiany danych pomidzy urzdzeniem ofiary a serwerem C&C.
Kade z polece jest potwierdzane przez aplikacj odpowiedzi Ack (poprawne wykonanie) lub
NAck (niepoprawne wykonanie/wystpienie wyjtku).
Przykadowo, po uruchomieniu aplikacja rejestruje si do odbioru nastpujcych informacji:
- wiadomoci SMS
- informacji o odbieranych lub wykonywanych poczeniach telefonicznych
Analiza statyczna wykazaa obecno nastpujcego kodu do przechwytywania wiadomoci SMS:
-
7/25/2019 sandrorat
4/8
PREVENITY 2014 Strona 4
Aplikacja tworzy baz danych przechwyconych wiadomoci SMS:
Oraz baz danych kontaktw:
-
7/25/2019 sandrorat
5/8
PREVENITY 2014 Strona 5
Rejestruje rwnie aktualn lokalizacj ofiary:
Aplikacja nagrywa rwnie pliki dwikowe (najprawdopodobniej rozmowy telefoniczne do
potwierdzenia):
Oraz ledzi wykonywane rozmowy telefoniczne:
-
7/25/2019 sandrorat
6/8
PREVENITY 2014 Strona 6
Aplikacja odczytuje zakadki oraz histori wbudowanej w systemie Android przegldarki WWW:
Ktre zapisuje w bazie danych:
-
7/25/2019 sandrorat
7/8
PREVENITY 2014 Strona 7
Oraz jest w stanie pobra i zainicjowa instalacj dodatkowej aplikacji, ktr uruchamia nastpnie z
karty SD pod nazw update.apk:
Mona byo zidentyfikowa, e w/w kod bazuje na kodzie udostpnionym w serwisie StackOverflow:
http://stackoverflow.com/questions/4967669/android-install-apk-programmatically
Podsumowujc powysze, wykryto co najmniej nastpujce bazy danych tworzone przez aplikacj:
Wykryto obecne co najmniej dwa zaszyte w aplikacji adresy serwerw:
Do pierwszego z wymienionych adresw (winrar.ddns.net, port 1800) tworzone jest poczenie
socketowe.
http://stackoverflow.com/questions/4967669/android-install-apk-programmaticallyhttp://stackoverflow.com/questions/4967669/android-install-apk-programmaticallyhttp://stackoverflow.com/questions/4967669/android-install-apk-programmatically -
7/25/2019 sandrorat
8/8
PREVENITY 2014 Strona 8
Na drugi z wymienionych adresw (http://winrar.nstrefa.pl/path/)nawizywana jest wikszo
komunikacji, po protokole HTTP.
W aplikacji wykryto zaszyte nastpujce klucze szyfrujce:
Analiza aplikacji wykazaa, e s one wykorzystywane przez malware do deszyfrowania wiadomoci
komunikatora Whatsapp, jeeli s one przechowywane na urzdzeniu uytkownika
(/mnt/sdcard/WhatsApp/Databases/msgstore.db.crypt5).
Podsumowujc, przeanalizowana prbka jest typowym oprogramowaniem zoliwym typu ko
trojaski z rozbudowan funkcjonalnoci dostpu zdalnego do urzdzenia ofiary.
http://winrar.nstrefa.pl/path/http://winrar.nstrefa.pl/path/http://winrar.nstrefa.pl/path/http://winrar.nstrefa.pl/path/