En Android informationstyv, som vi har døbt Acecard, også kendt som "Slembunk", spreder sig i forklædning af en Flash Player opdatering. Den leveres fra tvivlsomme websider, som ofret surfer ind på, eller på anden vis kan lokkes til at besøge.
Den uønskede APK (Android applikation) anvender websider, hvor Android brugere typisk søger efter applikationer eller søger efter pornografisk materiale. Et script, som er indsat på den pågældende webside, laver først et simpelt browser check (user agent), hvorefter applikationen tilbydes via browseren i smartphonen. Hvis ofret derfra kan lokkes til at installere den uønskede APK vil Android maskinen blive kompromitteret. Se skærmdump herunder af den trojaniserede Flash Player når den forsøges installeret:
Den pågældende applikation, som vi har analyseret, har følgende egenskaber:
Appnavn: Adobe Flash Player Update
Pakke: org.slempo.service
MD5: 288ad03cc9788c0855d446e34c7284ea
SHA-1: c8ba3108c7332146e7d3e3b7eaa5ba3194a351e5
Version: 3.4.543d
Signatur: CN=Android Debug, O=Android, C=US
Applikationen vil søge at opnå følgende rettigheder på enheden:
android.permission.CALL_PHONE
android.permission.GET_TASKS
android.permission.INTERNET
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_SMS
android.permission.SEND_SMS
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WAKE_LOCK
Mens den understøtter følgende funktioner (udsnit):
android.provider.Telephony.SMS_RECEIVED
android.content.pm.PackageManager.getInstalledApplications
android.telephony.SmsMessage.createFromPdu
android.telephony.SmsMessage.getOriginatingAddress
android.telephony.SmsMessage.getMessageBody
Den opmærksomme læser ser hurtigt, at denne APK er i stand til at opsamle SMS'er. Formålet er at omgå 2FA (2 faktor autentifikation). Derudover kan den indsamle data om opkald, numre og kontakter, applikationer installeret på enheden osv. En anden interessant detalje er, at angriberen til enhver tid, via den hardkodede C&C server (se skærmdump), kan udstede en wipe kommando: android.app.admin.DevicePolicyManager.wipeData
Den nye Acecard understøtter ikke færre end 21 sprog, herunder engelsk, tysk, dansk, spansk, portugisisk, svensk, norsk, finsk, hollansk, belgisk, italiensk osv.
Den binær APK afslører i udpakket stand at den laver et overlay af indholdet på mobiltelefonen hvor den foregiver at være en opdatering af Google Wallet. Her anmoder den ofret om kreditkort data (strengdump fra udpakket APK):
0009EFDD Gadenavn
0009EFE8 Naviger op
0009EFF5 Flere muligheder
0009F00F Opdater Google Play-tjenester
0009F02F Adgangskode
0009F03D Annuller
0009F046 Angiv den faktureringsadresse, som skal gemmes p
0009F07A Google-kontoen.
0009F08D Kontrolkode
0009F09B Kortholderens navn
0009F0AE Angiv de kreditkortoplysninger, som du vil bruge med Google Wallet.
0009F0F6 Ryd foresp
0009F102 rgslen
0009F10B Efternavn
0009F11A geforesp
0009F124 rgsel
0009F12C Stemmes
0009F135 gning
0009F13D Se alle
0009F14C Del med %s
0009F159 Fornavn
0009F163 Del med
0009F16D Telefonnummer
0009F184 Postnummer
0009F191 Kortnummer
0009F1F2 Google Wallet
Kommunikation med C&C serveren sker via funktionen:
org.apache.http.impl.client.DefaultHttpClient.execute (URL: "http://5.196.121[.]148:2080/", POST data
Den opretter en autostart funktion, så applikationen indlæses ved en genstart af mobilen: org.slempo.service.hujnkij8uijkjlmj;->onReceive (heraf navnet "Slembunk).
Udover at angribe kreditkort oplysninger, er den også på jagt efter online bank udbydere. En af de online banker, som er på "target listen" er dansk. Den pågældende bank er allerede underrettet om problemet igennem vores eCrime Services.
Vi har set flere Acecard varianter i de første uger af det nye år. Vi har allerede blokeret en stribe domæner der anvendes som download platform i CSIS Secure DNS og Heimdal PRO/corporate.
Et lille udsnit herunder (saniteret af CSIS):
xxxvideotube[.]org
f8gr8e8tg[.]com
australiamms[.]com
gexmails[.]com
brutalmobiletubes[.]com
adobeupdate[.]org
-> AdobeFlashPlayerUpdate.apk.
Acecard har udviklet sig markant i sofistikation i løbet af de seneste måneder og meget tyder på at dataindsamlende malware rettet mod smartphones vil stige i 2016.
↧
CSIS Blog: Android tyv fisker kreditkort
↧