Подробный анализ шпионского ПО, маскирующегося под TikTok

[Altaran]

Недавняя угроза запрета TikTok в Соединенных Штатах захватила Интернет штурмом и вызвала неоднозначную реакцию со стороны социальных сетей и пользователей Интернета. Президент США Дональд Трамп приказал ByteDance, материнской компании TikTok, продать свои активы TikTok в США, а также издал распоряжения , запрещающие приложениям для социальных сетей TikTok и WeChat работать в США, если продажа не состоится в ближайшее время. несколько недель. С другой стороны, ByteDance подала в суд на администрацию Трампа .
Когда популярные приложения подвергаются критике и занимают видное место в новостях, хакеры воодушевляются, поскольку эти достойные новостей приложения могут стать их последней целью. И TikTok не исключение.

Как правило, после того, как приложение забанено в официальном магазине приложений, таком как Google Play, пользователи пытаются найти альтернативные способы загрузки приложения. При этом пользователи могут стать жертвами вредоносных приложений, изображающих себя за исходное приложение. Недавно прошла огромная волна SMS-сообщений, а также сообщений Whatsapp, в которых пользователи просили загрузить последнюю версию TikTok по адресу hxxp: // tiny [.] Cc / TiktokPro. На самом деле это загруженное приложение представляет собой поддельное приложение, которое запрашивает учетные данные и разрешения Android (включая разрешения камеры и телефона), в результате чего пользователя засыпают рекламой.

Недавно мы столкнулись с еще одним вариантом этого приложения, изображающим себя как TikTok Pro, но это полноценное шпионское ПО с дополнительными функциями, позволяющими с легкостью шпионить за жертвой. (Обратите внимание, что это другое приложение, а не то, которое распространяется hxxp: // tiny [.] Cc / TiktokPro.)

Технический анализ

Имя приложения :	TikTok Pro
Хеш:	9fed52ee7312e217bd10d6a156c8b988
Имя пакета :	com.example.dat.a8andoserverx

После установки шпионское ПО изображает себя как TikTok, используя имя TikTok Pro. Как только пользователь пытается открыть приложение, оно запускает поддельное уведомление, и вскоре уведомление, а также значок приложения исчезают. Эта тактика поддельного уведомления используется для перенаправления внимания пользователя, в то время как приложение скрывается, заставляя пользователя думать, что приложение неисправно.

Эту функциональность можно увидеть на рисунке 1.

За кулисами одновременно происходит ряд процессов. Сначала запускается действие с именем MainActivity , которое скрывает значок и отображает поддельное уведомление. Он также запускает службу Android с именем MainService.

У шпионского ПО также есть дополнительная полезная нагрузка, хранящаяся в каталоге / res / raw / . Это распространенный метод, используемый разработчиками вредоносных программ для объединения основной полезной нагрузки в пакет Android, чтобы избежать легкого обнаружения. Как видно на рисунке 2, приложение пытается открыть полезную нагрузку из каталога / res / raw / и создать дополнительный пакет Android Package Kit (APK) с именем .app.apk :

После анализа мы обнаружили, что это ложная функция, и никакой новой полезной нагрузки не создается. Условия для создания дополнительной полезной нагрузки никогда не выполняются. Сделав еще один шаг, мы перестроили вредоносное ПО для выполнения очевидной функции создания полезной нагрузки, но обнаружили, что APK, хранящийся в каталоге / res / raw /, пуст. Размещение функции приманки, вероятно, предназначено для того, чтобы сбить с толку исследователей вредоносных программ. Также возможно, что эта функция находится в стадии разработки, что делает этот код заполнителя неполным.

Возвращаясь к потоку выполнения, как только шпионское ПО скрывается, оно запускает службу Android с именем MainService . Сервисы Android - это компоненты, которые можно заставить работать независимо в фоновом режиме без ведома жертвы. MainService - это мозг этого шпионского ПО, который контролирует практически все - от кражи данных жертвы до их удаления. Все его возможности обсуждаются позже в этом блоге.

Поскольку MainService является основным контроллером, разработчик предпринял соответствующие действия, чтобы поддерживать его работоспособность и постоянную работу.

Разработчик вредоносного ПО использует для этого разные тактики, и одна из них - широковещательные приемники Android. Приемники трансляций - это компоненты, которые позволяют вам регистрироваться для различных событий Android. В этом случае он регистрирует три широковещательных приемника:

• MyReceiver - срабатывает при загрузке устройства.
• Перехватить вызов - запускает входящие и исходящие вызовы.
• AlarmReceiver - срабатывает каждые три минуты.

MyReceiver и AlarmReceiver начать MainService всякий раз , когда происходят соответствующие события. Эта тактика очень распространена среди разработчиков вредоносных программ, чтобы гарантировать, что вредоносное ПО не будет уничтожено ОС Android или каким-либо другим способом.

На экране 4 показан MyReceiver в действии, когда он в конечном итоге вызывает службу MainService .

InterceptCall приемник срабатывает всякий раз , когда имеется входящий или исходящий вызов. Он устанавливает определенные параметры в отношении сведений о вызове, а дополнительная служба с именем c alls берет на себя управление, как показано на рисунке 5.

Как показано выше, служба вызовов хранит сведения о входящих вызовах в формате .mp3 в каталоге /sdcard/DCIM/.dat/ с именем файла, к которому добавляется «In_ » для входящих вызовов и «Out_ » для исходящих вызовов. О том, как эти записанные вызовы отправляются на сервер управления и контроля (CnC), заботится MainService , который обсуждается далее.

MainService является центральным контроллером этого шпионского ПО. Он управляет каждой функцией на основе команд, отправляемых сервером управления и контроля (C&C).

Как только эта служба запускается, она создает два процесса, которые заботятся о подключении и отключении от C&C сервера. Эту функциональность можно увидеть на рисунке 6.

 

[Altaran]

MainService имеет следующие возможности:

• Украсть SMS-сообщения
• Отправлять смс сообщения
• Украсть местонахождение жертвы
• Сделать фото
• Выполнять команды
• Снимать скриншоты
• Звоните по номерам телефонов
• Запускать другие приложения
• Украсть учетные данные Facebook и т. Д.

Все вышеперечисленные функции выполняются на основе команд, отправленных злоумышленником. Украденные данные хранятся во внешнем хранилище в каталоге / DCIM / со скрытым подкаталогом с именем «.dat» .

Ниже приведен список всех команд, обслуживаемых C&C сервером.

Команда	Действие
Unistxcr	Перезапустите приложение
Dowsizetr	Отправьте файл, хранящийся в каталоге /sdcard/DCIM/.dat/, на C&C сервер
Caspylistx	Получите список всех скрытых файлов в каталоге /DCIM/.dat/
spxcheck	Проверить, собирает ли шпионское ПО данные о звонках
S8p8y0	Удалить данные о звонках, сохраненные шпионским ПО
screXmex	Сделайте скриншоты экрана устройства
Batrxiops	Проверить состояние батареи
L4oclOCMAWS	Получить местонахождение жертвы
GUIFXB	Запустите поддельную страницу входа в Facebook
IODBSSUEEZ	Отправить файл, содержащий украденные учетные данные Facebook, на C&C сервер
FdelSRRT	Удалите файлы, содержащие украденные учетные данные Facebook
Chkstzeaw	Запустить Facebook
LUNAPXER	Запускать приложения в соответствии с именем пакета, отправленным C&C сервером
Gapxplister	Получите список всех установленных приложений
DOTRall8xxe	Заархивируйте все украденные файлы и сохраните в каталоге /DCIM/.dat/
Acouxacour	Получить список учетных записей на устройстве жертвы
Fimxmiisx	Открыть камеру
Scxreexcv4	Сделать снимок
micmokmi8x	Захват аудио
Юфсссп	Получите широту и долготу
GExCaalsss7	Получить журналы вызовов
PHOCAs7	Звоните по номерам телефонов, отправленным C&C сервером
Gxextsxms	Получить список входящих SMS-сообщений
Msppossag	Отправить SMS с телом сообщения, отправленным C&C сервером
Getconstactx	Получите список всех контактов
Ринксгоса	Воспроизвести рингтон
bithsssp64	Выполнять команды, отправленные C&C сервером
DOWdeletx	Удаляет файл, указанный C&C сервером
Deldatall8	Удалите все файлы, хранящиеся в каталоге /sdcard/DCIM/.dat/

У нас нет места для описания всех команд, но давайте рассмотрим некоторые из основных.

Facebook фишинг
Одной из интересных особенностей этого шпионского ПО является возможность кражи учетных данных Facebook с помощью поддельной страницы входа, похожей на фишинг.
Получив команду GUIFXB, шпионское ПО запускает поддельную страницу входа в Facebook. Как только жертва пытается войти в систему, она сохраняет учетные данные жертвы в /storage/0/DCIM/.fdat.

Вторая команда - это IODBSSUEEZ, которая далее отправляет украденные учетные данные на C&C сервер, как показано на рисунке 8.

Эта функция может быть легко расширена для кражи другой информации, такой как учетные данные банка, хотя мы не видели, чтобы какой-либо банк подвергался атаке.


Функциональность вызова
Команда PHOCAs7 запускает функцию вызова. Номер для вызова поступает вместе с командой, как показано на рисунке 9.

Номер телефона выбирается из ответа от C&C сервера и сохраняется в переменной str3 , которая в дальнейшем используется с помощью функции tel : .

Кража СМС
Команда Gxextsxms отвечает за выборку всех SMS-сообщений с устройства жертвы и их отправку на C&C сервер.

 

[Altaran]

Точно так же есть много важных команд, которые позволяют этой шпионской программе выполнять дополнительные функции, такие как выполнение команд, отправленных C&C, щелчок по фотографиям, создание снимков экрана, кража информации о местоположении и многое другое.

Дальнейший анализ
В ходе дальнейшего исследования мы обнаружили, что это шпионское ПО разработано с помощью фреймворка, аналогичного Spynote и Spymax, что означает, что это может быть обновленная версия этих сборщиков троянцев, которые позволяют любому, даже с ограниченными знаниями, разрабатывать полноценное шпионское ПО.

Многие из функций этого шпионского ПО аналогичны Spynote и Spymax на основе проанализированных нами образцов с некоторыми изменениями. Этот образец шпионского ПО общается через динамический DNS. Поступая таким образом, злоумышленники могут легко настроить трояна для обратной связи с ними без необходимости использования высокопроизводительных серверов. Другие общие функции включают выполнение команд, полученных от злоумышленника, создание снимков экрана устройства жертвы, получение местоположения, кражу SMS-сообщений и наиболее распространенные функции, которые может иметь каждое шпионское ПО.

Кража учетных данных Facebook с использованием поддельной активности в Facebook - это то, чего мы не наблюдали в версиях Spynote / Spymax, но наблюдались в этом шпионском ПО.

Эта структура позволяет любому разработать вредоносное приложение с желаемым значком и адресом связи. Некоторые из используемых значков можно увидеть ниже. Мы нашли 280 таких приложений за последние три месяца.

Все эти приложения разрабатываются одной и той же структурой и, следовательно, имеют одинаковое имя пакета и информацию о сертификате, как показано на рисунке 12.

Вывод
Из-за повсеместного распространения мобильных устройств и широкого использования Android злоумышленникам очень легко стать жертвой пользователей Android. В таких ситуациях мобильные пользователи всегда должны принимать максимальные меры предосторожности при загрузке любых приложений из Интернета. Жертву очень легко обмануть, чтобы она попалась на такую атаку.

Пользователи, которые с нетерпением ждут возможности использовать приложение TikTok в условиях запрета, могут поискать альтернативные способы загрузки приложения. При этом пользователи могут по ошибке установить вредоносные приложения, такие как шпионское ПО, упомянутое в этом блоге.

Меры предосторожности, которые вы принимаете в Интернете, подробно описаны почти во всех наших блогах; Тем не менее, мы считаем, что эту информацию стоит повторить. Пожалуйста, соблюдайте следующие основные меры предосторожности во время текущего кризиса - и всегда:

• Устанавливайте приложения только из официальных магазинов, например Google Play.
• Никогда не переходите по неизвестным ссылкам, полученным через рекламу, SMS-сообщения, электронные письма и т.п.
• Всегда отключайте параметр «Неизвестные источники» на устройстве Android. Это запрещает установку приложений на ваше устройство из неизвестных источников.

Мы также хотели бы отметить , что если вы столкнетесь с приложением скрывающей его значок, всегда стараюсь искать приложения в настройках устройства (перейдя в Настройки -> Программы -> Поиск иконку , которая была скрыта ). В случае этого шпионского ПО найдите приложение под названием TikTok Pro.