Trucuri folosite de infractorii cibernetici pentru a pătrunde în telefoane


În vreme ce analiștii vin cu noi metode de analiză a malware-ului, iar utilizatorii încep să înțeleagă modul în care acționează codul malițios, infractorii cibernetici caută noi modalități de a pătrunde în telefoane și de a le compromite.

Trucurile întortocheate folosite pentru a spori eficiența atacurilor pot fi grupate în două categorii distincte: strategii de inginerie socială care încearcă să deruteze utilizatorii și mecanisme tehnice sofisticate care încearcă să blocheze detectarea și analiza malware-ului.

Acest articol rezumă unele dintre comportamentele comune ale acestor coduri malițioase de Android, detectate în ultimii ani.

Înșelătoria bazată pe inginerie socială

Utilizarea unor conturi frauduloase în magazinul Google Play, pentru a distribui programe malware

În magazinul oficial Google nu încetează să-și tot facă apariția diferite aplicații malware. Pentru infractorii cibernetici, strecurarea programelor malițioase în magazinul de aplicații autentice este o victorie uriașă, pentru că în acest fel pot ajunge la mai multe potențiale victime, iar probabilitatea infectării dispozitivelor lor este cu atât mai mare.

Mai mult decât atât, conturile false de dezvoltator, folosite pentru a răspândi aplicații nesigure sau malițioase încearcă să pară cât mai asemănătoare posibil cu conturile reale, pentru a înșela simplii utilizatori, care sfârșesc în capcanele întinse. Într-un caz recent, cercetătorii au descoperit o aplicație falsă pentru actualizarea platformei WhatsApp, care se folosea de caractere Unicode, pentru a da impresia că este distribuită prin contul oficial.

Profitarea de datele de lansare ale aplicațiilor mobile

O practică comună în lumea criminalității informatice este dezvoltarea unor programe malware identice cu versiuni ale unor aplicații deja existente (în general, jocuri), care au câștigat o popularitate neașteptată și sunt fie programate pentru lansare, fie nu sunt disponibile în magazinele oficiale din anumite țări. Acest lucru s-a întâmplat cu Pokémon GO, Prisma și Dubsmash, crescând cu alte sute de mii de infectările, la nivel mondial.

Tapjacking-ul și ferestrele suprapuse

Tapjacking-ul este o tehnică care implică deturnarea clickurilor unui utilizator pe ecran, prin afișarea a două aplicații suprapuse. Astfel, victimele au impresia că dau click pe aplicația de pe ecran, dar interacționează, de fapt, cu aplicația de dedesubt, care rămâne ascunsă.

O altă strategie similară, utilizată pe scară largă în spyware pentru furtul de date de autentifcare în Android, este cea a ferestrelor suprapuse. Prin această schemă, malware-ul urmărește continuu aplicația pe care o folosește utilizatorul și când aceasta coincide cu o anumită aplicație, se afișează o căsuță de dialog, identică cu aplicația legitimă, solicitând datele de login ale utilizatorului.

Camuflarea între aplicațiile de sistem

De departe, cel mai simplu mod de a strecura un cod malware într-un dispozitiv este să-l îmbraci sub forma unei aplicații de sistem și să treacă, astfel, aproape neobservată. Practici frauduloase precum ștergerea pictogramei unei aplicațiii după instalare, utilizarea unor nume, pachete și iconițe ale aplicațiilor din sistem și a unor alte aplicații populare pentru a compromite un dispozitiv sunt strategii ce apar tot mai des în codul malware, un exemplu fiind virusul troian bancar care a trecut drept Adobe Flash Player, pentru a fura datele de utilizator.

Simularea sistemelor și aplicațiilor de securitate pentru a solicita permisiunile administratorului

Sistemul Android este programat să limiteze permisiunile aplicațiilor, iar o mulțime dintre codurile malițioase îi solicită administratorului permisiunea pentru a-și implementa corect funcționalitatea distructivă. Acordarea acestei permisiuni face mai dificilă dezinstalarea ulterioară a malware-ului.

Camuflarea acestora drept instrumente de securitate sau actualizări de sistem nu face decât să îi ajute pe criminalii cibernetici. Le permite, în special, să se protejeze în spatele numelui unui dezvoltator de încredere și, prin urmare, utilizatorii nu ezită atunci când permit aplicațiilor să acceseze funcții administrative.

Certificate de securitate care simulează date adevărate

Certificatul de securitate utilizat pentru a aproba un fișier APK poate fi, de asemenea, utilizat pentru a determina dacă o aplicație a fost sau nu modificată. În timp ce majoritatea infractorilor cibernetici folosesc șiruri de texte generice, atunci când eliberează un certificat, mulți se confruntă cu problema de a falsifica date care să corespundă datelor utilizate de dezvoltator, avansând și mai mult în eforturile lor de a deruta utilizatorii care efectuează aceste verificări.

Tehnici pentru complicarea analizei

Funcționalități multiple în același cod

Un trend care a câștigat teren în ultimii ani în lumea telefoanelor mobile este acela de a combina diferite tipuri de malware într-un singur executabil. Un astfel de exemplu e LokiBot, un troian bancar care încearcă să treacă neobservat cât mai mult timp posibil pentru a fura informații dintr-un dispozitiv; cu toate acestea, atunci când utilizatorul încearcă să elimine permisiunile de administrare pentru a dezinstala programul, acesta își activează feature-ul ransomware, prin criptarea fișierelor dispozitivului.

Aplicații ascunse

Utilizarea unui dropper sau a unui downloader, ca de exemplu integrarea unui cod rău intenționat într-un alt APK sau descărcarea acestuia de pe internet, este o strategie care nu se limitează doar la programele malware pentru laptopuri și computere, ci este, de asemenea, folosită universal de autorii codurilor malițioase pentru dispozitivele mobile.

Pe măsură ce fostul Google Bouncer (acum Google Play Protect) a complicat mult șansele infractorilor cibernetici de a încărca malware în magazinul oficial, atacatorii au ales să includă acest tip de disimulare a codului pentru a evita controalele ... și a funcționat! Cel puțin, pentru o perioadă.

De atunci, aceste două forme de împachetare malware a programelor au intrat în topul celor mai utilizate tehnici malițioase.

Multiple limbaje de programare și coduri volatile

Noi framework-uri de dezvoltare multiplatform și limbaje de programare sunt dezvoltate continuu. Nu există modalitate mai bună de a induce în eroare un analist malware decât prin a combina limbajele și mediile de dezvoltare, ca de exemplu proiectând aplicații cu Xamarin sau utilizând codul Lua pentru a executa comenzi malware. Această strategie modifică arhitectura finală a executabilului și adaugă niveluri de complexitate.

Unii atacatori adaugă la această combinație și încărcarea dinamică de script sau de porțiuni de cod descărcate de pe servere remote și șterse după utilizare. Deci, odată ce serverul a fost eliminat de cybercriminali, nu se poate ști cu exactitate ce acțiuni a efectuat codul pe dispozitiv.

Astfel de cazuri au început să apară spre sfârșitul anului 2014, când cercetătorii au publicat această analiză complexă a malware-ului.

Virus malware sinergetic

O alternativă pentru complicarea analizei unui astfel de exemplar este împărțirea funcționalității malițioase într-un set de aplicații capabile să interacționeze între ele. Procedând astfel, fiecare aplicație are un subset de permisiuni și o funcționalitate malițioasă, iar apoi interacționează între ele pentru a îndeplini un alt scop. În plus, pentru ca analiștii să înțeleagă adevărata funcție a malware-ului, trebuie să aibă acces la fiecare dintre aplicațiile separate, ca și când ar fi piese dintr-un puzzle.

Și în timp ce aceasta nu este o strategie la care se recurge frecvent, au existat deja cazuri care ilustrează acest tip de comportament, așa cum a demonstrat recent o publicație de pe Virus Bulletin.

Canalele ascunse și noile mecanisme de comunicare

Pentru a comunica cu un server C & C sau alte aplicații malițioase, malware-ul trebuie să transfere informații. Acest lucru se poate face prin canale tradiționale deschise sau canale închise (protocoale personalizate de comunicare, intensitatea luminozității, wake locks, utilizare CPU, spațiu liber în memorie, niveluri de sunet sau vibrații și accelerometre, printre altele).

Mai mult decât atât, în ultimele luni am văzut cum infractorii cibernetici folosesc rețelele sociale pentru a transfera mesaje C&C, cum ar fi Twitoor, botnetul care utilizează conturi Twitter pentru a trimite comenzi.

Alte tehnici

Folosirea unor tehnici precum packaging-ul, anti-emularea, anti-debugging-ul, criptarea și disimularea sau alte tehnici de evaziune, sunt foarte frecvente în programele malware pentru Android. Pentru a obține aceste tipuri de protecții, este posibil să folosiți funcții hooking, de pildă prin aplicații precum Frida.

De asemenea, este posibil să se utilizeze medii de analiză care încearcă să evite aceste controale în mod implicit, cum ar fi MobSF - care include tehnici de anti-emulare, Inspeckage – unde, de exemplu, pot fi văzute șiruri de texte flat înainte și după criptare, împreună cu cheile folosite sau AppMon .

Pentru a preveni infectările nu uitați să fiți atenți la aceste comportamente potențial dăunătoare și să verificați dacă telefonul dumneavoastră a fost compromis.

Noemi Kiss March 21, 2018

Lasa un comentariu