Novi val malicionih Android Package Kit (APK) datoteka spaja dva najpouzdanija izvora prihoda od sajber kriminala – prevarantsko oglašavanje putem klikova i krađu akreditiva – u jednu, prilagodljivu prijetnju koja je počela kružiti jugoistočnom Azijom, Latinskom Amerikom i dijelovima Evrope.
Prerušen u ležerne igre, uslužne programe za nagrađivanje zadataka ili čak klonove legitimnih Chrome ili Facebook aplikacija, maliciozni softver mami korisnike s Google Play-a kako bi instalirao lažne pakete, taktiku koja vješto zaobilazi Google-ove ugrađene kontrole provjere i iskorištava udice društvenog inženjeringa poput „Dobijte besplatno 5 dolara“ ili „Kreirajte svoju oglasnu kampanju“.
Nakon što APK sleti na uređaj žrtve, aplikacija odmah zahtijeva niz dozvola – kameru, kontakte, upravljanje računom i mogućnost pokretanja usluga u prvom planu – što daleko prevazilazi ono što bi bilo koja lagana igra ili aplikacija za kupone trebala zahtijevati.
Analitičari Trustwave SpiderLabsa identifikovali su kampanju prateći mamac s temom Facebook oglasa koji je automatski ispuštao sadržaj naveden fb20-11-en.apks lažnog domena.
Njihova telemetrija pokazuje da ista infrastruktura širi desetine varijantnih aplikacija, od kojih je svaka regionalno podešena da imitira banke, telekomunikacijske kompanije ili platforme za klađenje, a ipak je sastavljena iz zajedničke baze koda.
Žrtve su pogođene dva puta. U prvom planu, aplikacija tiho učitava parkirane domene i partnerske tokove prodaje, simulirajući dodire i skrolovanja kako bi povećala broj prikaza oglasa, manevar koji je jasno prikazan u lancu preusmjeravanja.
.webp)
U pozadini, uvjerljivi obrasci za prijavu kradu korisnička imena, lozinke i povremeno jednokratne PIN-ove, prosljeđujući ih šifrovanom pozadinskom sistemu za komande i kontrolu (C2).
Analitičari upozoravaju da ova arhitektura s dvostrukom namjenom omogućava operaterima da odmah unovče svaki zaraženi uređaj, dok istovremeno tiho prikupljaju podatke za preprodaju ili kasnije preuzimanje računa.
Ispod haube, klaster se oslanja na modularni konfiguracijski sistem koji isporučuje svoju C2 mapu kao Base64 niz šifrovan AES-om u režimu elektronske knjige kodova.
Tvrdo kodirani ključ 123456789mangofb——— je ugrađen direktno u APK, omogućavajući malicioznom softveru da dekodira nove API rute u hodu i rotira infrastrukturu kada su domene blokirane.
Relevantna rutina, koju je Trustwave dekompilirao, reprodukovana je u nastavku radi jasnoće: –
Cipher cipher = Cipher.getInstance("AES");
byte[] keyBytes = new byte[16];
System.arraycopy("123456789mangofb".getBytes(), 0, keyBytes, 0, 16);
SecretKeySpec keySpec = new SecretKeySpec(keyBytes, "AES");
cipher.init(Cipher.DECRYPT_MODE, keySpec);
byte[] decrypted = cipher.doFinal(Base64.decode(encryptedData, 0));Mehanizam infekcije: Od bočnog opterećenja do tihe kontrole
Instalacija počinje porukom na društvenim mrežama ili QR kodom koji korisnike preusmjerava na sličnu početnu stranicu.
Dodirom dugmeta „Pokreni odmah“ pokreće se trenutno preuzimanje APK-a i, što je ključno, potiskuje se normalno Androidovo upozorenje o izvoru instalacije miješanjem putanje datoteke s poddomenama koje izgledaju legitimno, kao što su apk.kodownapp.top.
Nakon što se pokrene, aplikacija koristi ApkSignatureKillerExokvir otvorenog koda za dodavanje sekundarnog korisnog tereta ( origin.apk) u vlastiti direktorij bez poništavanja originalnog potpisa, garantirajući da će operativni sistem tretirati aplikaciju kao pouzdanu nadogradnju.
.webp)
Prilikom prvog pokretanja, izdaje beacon za 38.54.1.79:9086/#/entry, preuzima AES-omotanu konfiguraciju i tek tada aktivira module za automatizaciju klikova na oglase ili prikupljanje kredencijala , značajno smanjujući buku ponašanja na koju se većina sandbox okruženja oslanja za detekciju.
Dok korisnik primijeti anomalno pražnjenje baterije ili skokove u podacima, i prihodi od oglasa i novi skupovi akreditiva su odavno nestali kroz rezervni kanal “zapisnika rušenja” maskiran iza naizgled bezopasne poddomene.
Izvor: CyberSecurityNews
