Prihlásenie
Služby
SAMSUNG_032023 Advertisement SAMSUNG_032023 Advertisement SAMSUNG_032023 Advertisement
Služby
Sekcie
Prihlásenie
  • Home
  • Bezpečnosť
  • Vírusový radar / Falošná VPN aplikácia a falošný Telegram na Androide
Image

Vírusový radar / Falošná VPN aplikácia a falošný Telegram na Androide

Bezpečnosť
Zdieľať
7

V závere roka boli aj naši výskumníci v strehu, a nie iba pre vianočné darčeky alebo bujaré silvestrovské oslavy. Aj posledné týždne roka sme totiž zverejnili niekoľko zaujímavých objavov. V tomto stĺpčeku sa zameriam na dve hrozby pre androidové smartfóny.

Náš košický výskumník Lukáš Štefanko odhalil aktívnu kybernetickú kampaň zacielenú na používateľov operačného systému Android, ktorú má na svedomí APT skupina Bahamut. Táto kampaň trvala počas celého roka 2022.  Škodlivé spajvérové aplikácie tváriace sa ako legitímne útočníci rozširujú prostredníctvom falošnej stránky služby SecureVPN, ktorá ponúka na stiahnutie výhradne skompromitované aplikácie pre Android. Táto stránka, samozrejme, nemá nič spoločné s legitímnym multiplatformovým softvérom a službou SecureVPN.

Škodlivé aplikácie použité v tejto kampani dokážu toho od používateľov kradnúť naozaj veľa: kontakty, SMS správy, nahraté hovory a dokonca správy z aplikácií na četovanie, ako napríklad WhatsApp, Facebook Messenger, Signal, Viber a Telegram. Identifikovali sme najmenej osem verzií spajvéru Bahamut, čo môže znamenať, že kampaň je dobre spravovaná. Škodlivé aplikácie neboli nikdy k dispozícii na stiahnutie v obchode Google Play.

K exfiltrácii dát dochádza prostredníctvom funkcionality na zaznamenávanie stlačení klávesnice, ktorá zneužíva služby dostupnosti. Kampaň sa zdá mimoriadne cielená, pretože sme tieto prípady nezaznamenali v rámci našej telemetrie. Aplikácia si navyše vypýta aktivačný kľúč ešte pred povolením VPN a sledovacej funkcionality. Táto vrstva má za cieľ zabrániť spusteniu škodlivého kódu na zariadeniach osôb, ktoré nie sú v hľadáčiku útočníkov, a chrániť ho pred analýzou bezpečnostnými expertmi.  Ak je sledovacia funkcionalita povolená, útočníci dokážu spajvér ovládať na diaľku a získať rôzne citlivé dáta.

Medzi ciele APT skupiny Bahamut  patria najmä organizácie a jednotlivci na Blízkom východe a v južnej Ázii a zameriava sa na kybernetickú špionáž.

Nie dlho od tohto útoku Lukáš Štefanko objavil inú obdobnú a takisto prebiehajúcu kampaň na Androide. APT skupina StrongPity zneužila plnofunkčnú, no skompromitovanú verziu legitímnej aplikácie Telegram. Tá sa dá stiahnuť výhradne z falošnej stránky napodobňujúcej web Shagle.

Backdoor z dielne skupiny StrongPity disponuje viacerými špionážnymi schopnosťami: 11 dynamicky spustiteľných modulov dokáže nahrávať telefonické hovory či zbierať SMS správy, zoznamy hovorov a kontaktov. Tieto moduly sa podarilo verejne zdokumentovať vôbec prvýkrát. Ak obeť udelí škodlivej aplikácii prístup k notifikáciám a službám dostupnosti, malvér získa prístup k prichádzajúcim notifikáciám zo 17 aplikácií, ako napríklad Viber, Skype, Gmail, Messenger či Tinder, a dokáže aj kradnúť četovú komunikáciu z ostatných aplikácií. Kybernetická kampaň je rovnako ako v prípade Bahamutu pravdepodobne veľmi úzko cielená, keďže telemetria spoločnosti ESET doposiaľ nezaznamenala žiadne obete.

Na rozdiel od skutočnej služby Shagle, ktorá funguje výhradne ako webová stránka a neponúka na stiahnutie oficiálnu mobilnú aplikáciu, falošná stránka ponúka na stiahnutie podvodnú aplikáciu Telegram. Táto skompromitovaná verzia pritom nie je dostupná v obchode ­Google Play.

Analýza kódu ukázala, že backdoor je modulárny a dodatočné binárne moduly sú sťahované z riadiaceho servera. To znamená, že počet a typ použitých modulov sa môže kedykoľvek meniť v závislosti od potrieb skupiny StrongPity.

Skompromitovaná verzia Telegramu používa ten istý názov balíka ako legitímna aplikácia Telegram. Názvy balíkov by mali byť unikátne identifikátory pre každú aplikáciu pre Android a musia byť jedinečné pre každé zariadenie. Znamená to, že ak je oficiálna aplikácia Telegram už nainštalovaná na zariadení možnej obete, backdoor sa nedokáže nainštalovať. Podľa Štefanka sa to dá vysvetliť tak, že útočník najprv komunikuje s potenciálnou obeťou a tlačí ju do odinštalovania aplikácie Telegram z jej zariadenia, ak ju už má nainštalovanú. Druhá možnosť je, že sa kampaň zameriava na krajiny, kde sa Telegram používa na komunikáciu len zriedka.

Aplikácia skupiny StrongPity by mala na komunikáciu fungovať ­takisto ako oficiálna verzia. V porovnaní s prvým malvérom skupiny StrongPity pre mobilné telefóny má tento backdoor rozšírené špionážne schopnosti. Dokáže sledovať prichádzajúce notifikácie a kradnúť četovú komunikáciu, ak obeť povolí aplikácii prístup k notifikáciám a službám dostupnosti. 

Aj tento rok majte teda na pamäti, že váš telefón je malý počítač. Niekedy dokonca výkonnejší ako ten, ktorý máte na stole, a často s ešte väčším množstvom citlivých dát. A tie by si mal každý chrániť ako tie v počítači. Bezpečné surfovanie sa vzťahuje aj na aplikácie a brázdenie webu na smartfóne.

 

Branislav Ondrášik, ESET

Všetky autorove články

7 komentárov

Ty počuj a keď máš po spustení android x86 prázdnu obrazovku čiernu, nespustil ti niekto tento intent? To asi zasa dokazili: reakcia na: Vírusový radar / Falošná VPN aplikácia a falošný Telegram na Androide

18.2.2023 14:02
private final int SPLASH_DISPLAY_TIME = 3000;
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.splash);
final Handler handler = new Handler();
handler.postDelayed(new Runnable() {
@Override
public void run() {
Intent mainIntent = new Intent(SplashActivity.this,
LoginActivity.class);
SplashActivity.this.startActivity(mainIntent);
SplashActivity.this.finish();
handler.removeCallbacks(this);
}
}, SPLASH_DISPLAY_TIME);
}
Reagovať

RE: Alebo, či to aj nie je tým cpu, že ty máš inštrukcie android x86 a ty to spúšťaš de fakto na amd64 cpu, nie na x86 cpu. reakcia na: Ty počuj a keď máš po spustení android x86 prázdnu obrazovku čiernu, nespustil ti niekto tento intent? To asi zasa dokazili:

18.2.2023 16:02
Nebude to cpu? Povolíš vt-x vo virtuálke a bežíš na amd64 nie x86? Nejaké domixované inštrukcie pri porte android x86? ;) To teraz nekvalitní inžinieri všade, všetko sa kazí. Veď niekto dokonca písal na fb esetu, že haló: internet security nevie vytvoriť výnimku pravidlo v ms firewalle programaticky, ale žiada ma to klikať niečo vo win10. Sa tam týpek divil, prečo to nespravili cez intsec programom. Posledne to tam už vraj dali, ale ľudia z toho mali ťažkú hlavu, že samá bublina z intsec na nich vyskakovala :)
Reagovať

RE: RE: Neviem, to sa na žiadnej IT vysokej neučí ako portovať inštrukcie pre cpu. reakcia na: RE: Alebo, či to aj nie je tým cpu, že ty máš inštrukcie android x86 a ty to spúšťaš de fakto na amd64 cpu, nie na x86 cpu.

18.2.2023 17:02
Ja som na IT vysokej ani nespával, čo som čítal tisíce strán textu po predmetoch a veru po 5 rokoch neviem ako portovať inštrukcie cpu arm na x86. To ťa nikto nenaučí. To už si musíš doštudovať sám, nikto nevie kde - asi nejaká kniha. Posledne, čo som čítal ako spraviť v linuxe rpm balíček, tak mi to nešlo. A keď som chcel niečo skompilovať v C v Linuxe, tak mi vybehli tisíce závislostí a program padol. Podarilo sa mi len vytvoriť program ako electron HTML5/CSS/JS snap podľa návodov, ostatok nebežal. To nevravím o tom, že by som chcel programovať kernel - nemám šancu, nikde sa to neučí, Slovensko na to nemá lidi. A to mám vyštudované 3 technické VŠ, nič, nula bodov, zbytočne. Mám: elektrotechniku, informatiku a potom som dal šancu pedagogike. Roky v školách a som hlúpy :D Dokázal som napísať nejaké php a java swing, eta vsio. Keď chceli sdml v pascale vravím, nikde nie je k tomu literatúra, ako by som to programoval? Nó, nik ti dnes neporadí a ak nemám literatúru, neprídem na to - preto aj mnohé weby už vymazali, alebo stiahli preč knihy z nich. Svet je teraz v hroznom stave.
Reagovať

Ste pekne pokročilí používatelia, aj ja by som toto chcela vedieť nainštalovať. reakcia na: Vírusový radar / Falošná VPN aplikácia a falošný Telegram na Androide

18.2.2023 13:02
Na android x86 sa zaseknem na rozdelení partícií, spravila som to vo virtuálke podľa návodu, ale systém mi nenaštartoval. Čierna obrazovka.
Reagovať

RE: skús toto, sú tam aj alternatívy, malo by to fičať: htt ps://alternativeto. net/software/android-x86/?license=free reakcia na: Ste pekne pokročilí používatelia, aj ja by som toto chcela vedieť nainštalovať.

18.2.2023 13:02
htt ps://alternativeto. net/software/android-x86/?license=free Odstráň si medzerry z linku, pý sý revý ich zakázalo.

Používam výhradne oficiálny obchod play a vždy kontrolu play protect. Side loading *.apk som nikdy nevyužil. Nech si to nechajú. reakcia na: Vírusový radar / Falošná VPN aplikácia a falošný Telegram na Androide

17.2.2023 16:02
Ak to ponúkajú z webky, nikdy to nechcem. Dávam si pozor aj na windowse, či je appka vždy podpísaná. Plus podozrivé appky mi sám avast free zašle na analýzu do cloudu. Problém som mal len párkrát na telefóne, že som pozeral porno na pornhub a potom mi na android6 začala padať klávesnica. Normálne, keď sa mala gboard vysunúť, proces sa zrútil. Išiel som do play a nainštaloval alternatívnu klávesnicu a počkal, kým gúgl zasa aktualizuje gboard a potom som sa prepol s5 na g. To tieto služby zrejme hekujú telefóny exploitmi, lebo zrejme boli chyby v chrome od gúgl, ktorý používam na androide. Používal som na domácu zábavu a honenie len pornhub, xvideos, redtube, youporn a podobné. Keď ti treba pičku nepoznáš brata, klasika výstrek a potom ich len zavrieš a deň plynie ďalej a neotravuje ťa žiadna piča, že ti dala a podobné kraviny, že si máš platiť dieťa a podobne. Btw eset na windows už neplánujem, lebo firewall ms ho sám blokol a ja to neviem nastaviť s5, tak už nezaplatím, je to pokazené a furt niečo ten eset otravuje bublinami, že to nejde hento nejde a podobne. Na notebook som hodila android x86 s plným play a bežím v izolovanej vrstve, netreba eset. Využívam cloudové appky ako photopea, či snapseed alebo lumi. Na doku nejaký wms a som v poho. Prajem veľa šťastia s odhaľovaním nepodstatného sájd loudingu, nik to nechce ď.
Reagovať

RE: Jasné, ľudia nie sú hlúpi. reakcia na: Používam výhradne oficiálny obchod play a vždy kontrolu play protect. Side loading *.apk som nikdy nevyužil. Nech si to nechajú.

17.2.2023 18:02
Veď gúgl, že kúpil eset tech a kontroluje ti ňou emaily a play, tak jasné že sa oplatí používať play protect z ofi store. Mňa čo zas nasralo bolo, že gúgl zdieľal favorities zo súkromného prehliadania. Som si stiahol Epic privacy browser s epic proxy a umbrella a pozeral som porno z nejakej CA proxy a ma išlo jebnúť, keď som videl, že v chrome sa objavila záložka favor z privátneho brousra :( Potom som ešte skúšal tor browser a ten to nerobil. Inak vďaka za tip, vo windowse veľmi výhodne vychádza avast free, len sa smejem na tej bubline z avast v rohu, že vaša poloha je odhalená - ja aj toto píšem z EPB z nejakej vzdialenej proxy v riti, takže moja poloha je sejf vrátane ambrella a striedam to s tor/i2p vo virtuálnom stroji mám aj anonsurf a tam si môžem vybrať polohu kdekoľvek v ricinke a prepínať tor vs i2p. Takže tento web vidí akurát tak holú.

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať