Недавняя угроза запрета TikTok в Соединенных Штатах захватила Интернет штурмом и вызвала неоднозначную реакцию со стороны социальных сетей и пользователей Интернета. Президент США Дональд Трамп приказал ByteDance, материнской компании TikTok, продать свои активы TikTok в США, а также издал распоряжения , запрещающие приложениям для социальных сетей TikTok и WeChat работать в США, если продажа не состоится в ближайшее время. несколько недель. С другой стороны, ByteDance подала в суд на администрацию Трампа .
Когда популярные приложения подвергаются критике и занимают видное место в новостях, хакеры воодушевляются, поскольку эти достойные новостей приложения могут стать их последней целью. И TikTok не исключение.
Как правило, после того, как приложение забанено в официальном магазине приложений, таком как Google Play, пользователи пытаются найти альтернативные способы загрузки приложения. При этом пользователи могут стать жертвами вредоносных приложений, изображающих себя за исходное приложение. Недавно прошла огромная волна SMS-сообщений, а также сообщений Whatsapp, в которых пользователи просили загрузить последнюю версию TikTok по адресу hxxp: // tiny [.] Cc / TiktokPro. На самом деле это загруженное приложение представляет собой поддельное приложение, которое запрашивает учетные данные и разрешения Android (включая разрешения камеры и телефона), в результате чего пользователя засыпают рекламой.
Недавно мы столкнулись с еще одним вариантом этого приложения, изображающим себя как TikTok Pro, но это полноценное шпионское ПО с дополнительными функциями, позволяющими с легкостью шпионить за жертвой. (Обратите внимание, что это другое приложение, а не то, которое распространяется hxxp: // tiny [.] Cc / TiktokPro.)
Технический анализ
После установки шпионское ПО изображает себя как TikTok, используя имя TikTok Pro. Как только пользователь пытается открыть приложение, оно запускает поддельное уведомление, и вскоре уведомление, а также значок приложения исчезают. Эта тактика поддельного уведомления используется для перенаправления внимания пользователя, в то время как приложение скрывается, заставляя пользователя думать, что приложение неисправно.
Эту функциональность можно увидеть на рисунке 1.
За кулисами одновременно происходит ряд процессов. Сначала запускается действие с именем MainActivity , которое скрывает значок и отображает поддельное уведомление. Он также запускает службу Android с именем MainService.
У шпионского ПО также есть дополнительная полезная нагрузка, хранящаяся в каталоге / res / raw / . Это распространенный метод, используемый разработчиками вредоносных программ для объединения основной полезной нагрузки в пакет Android, чтобы избежать легкого обнаружения. Как видно на рисунке 2, приложение пытается открыть полезную нагрузку из каталога / res / raw / и создать дополнительный пакет Android Package Kit (APK) с именем .app.apk :
После анализа мы обнаружили, что это ложная функция, и никакой новой полезной нагрузки не создается. Условия для создания дополнительной полезной нагрузки никогда не выполняются. Сделав еще один шаг, мы перестроили вредоносное ПО для выполнения очевидной функции создания полезной нагрузки, но обнаружили, что APK, хранящийся в каталоге / res / raw /, пуст. Размещение функции приманки, вероятно, предназначено для того, чтобы сбить с толку исследователей вредоносных программ. Также возможно, что эта функция находится в стадии разработки, что делает этот код заполнителя неполным.
Возвращаясь к потоку выполнения, как только шпионское ПО скрывается, оно запускает службу Android с именем MainService . Сервисы Android - это компоненты, которые можно заставить работать независимо в фоновом режиме без ведома жертвы. MainService - это мозг этого шпионского ПО, который контролирует практически все - от кражи данных жертвы до их удаления. Все его возможности обсуждаются позже в этом блоге.
Поскольку MainService является основным контроллером, разработчик предпринял соответствующие действия, чтобы поддерживать его работоспособность и постоянную работу.
Разработчик вредоносного ПО использует для этого разные тактики, и одна из них - широковещательные приемники Android. Приемники трансляций - это компоненты, которые позволяют вам регистрироваться для различных событий Android. В этом случае он регистрирует три широковещательных приемника:
На экране 4 показан MyReceiver в действии, когда он в конечном итоге вызывает службу MainService .
InterceptCall приемник срабатывает всякий раз , когда имеется входящий или исходящий вызов. Он устанавливает определенные параметры в отношении сведений о вызове, а дополнительная служба с именем c alls берет на себя управление, как показано на рисунке 5.
Как показано выше, служба вызовов хранит сведения о входящих вызовах в формате .mp3 в каталоге /sdcard/DCIM/.dat/ с именем файла, к которому добавляется «In_ » для входящих вызовов и «Out_ » для исходящих вызовов. О том, как эти записанные вызовы отправляются на сервер управления и контроля (CnC), заботится MainService , который обсуждается далее.
MainService является центральным контроллером этого шпионского ПО. Он управляет каждой функцией на основе команд, отправляемых сервером управления и контроля (C&C).
Как только эта служба запускается, она создает два процесса, которые заботятся о подключении и отключении от C&C сервера. Эту функциональность можно увидеть на рисунке 6.
Когда популярные приложения подвергаются критике и занимают видное место в новостях, хакеры воодушевляются, поскольку эти достойные новостей приложения могут стать их последней целью. И TikTok не исключение.
Как правило, после того, как приложение забанено в официальном магазине приложений, таком как Google Play, пользователи пытаются найти альтернативные способы загрузки приложения. При этом пользователи могут стать жертвами вредоносных приложений, изображающих себя за исходное приложение. Недавно прошла огромная волна SMS-сообщений, а также сообщений Whatsapp, в которых пользователи просили загрузить последнюю версию TikTok по адресу hxxp: // tiny [.] Cc / TiktokPro. На самом деле это загруженное приложение представляет собой поддельное приложение, которое запрашивает учетные данные и разрешения Android (включая разрешения камеры и телефона), в результате чего пользователя засыпают рекламой.
Недавно мы столкнулись с еще одним вариантом этого приложения, изображающим себя как TikTok Pro, но это полноценное шпионское ПО с дополнительными функциями, позволяющими с легкостью шпионить за жертвой. (Обратите внимание, что это другое приложение, а не то, которое распространяется hxxp: // tiny [.] Cc / TiktokPro.)
Технический анализ
| Имя приложения : | TikTok Pro |
| Хеш: | 9fed52ee7312e217bd10d6a156c8b988 |
| Имя пакета : | com.example.dat.a8andoserverx |
После установки шпионское ПО изображает себя как TikTok, используя имя TikTok Pro. Как только пользователь пытается открыть приложение, оно запускает поддельное уведомление, и вскоре уведомление, а также значок приложения исчезают. Эта тактика поддельного уведомления используется для перенаправления внимания пользователя, в то время как приложение скрывается, заставляя пользователя думать, что приложение неисправно.
Эту функциональность можно увидеть на рисунке 1.
За кулисами одновременно происходит ряд процессов. Сначала запускается действие с именем MainActivity , которое скрывает значок и отображает поддельное уведомление. Он также запускает службу Android с именем MainService.
У шпионского ПО также есть дополнительная полезная нагрузка, хранящаяся в каталоге / res / raw / . Это распространенный метод, используемый разработчиками вредоносных программ для объединения основной полезной нагрузки в пакет Android, чтобы избежать легкого обнаружения. Как видно на рисунке 2, приложение пытается открыть полезную нагрузку из каталога / res / raw / и создать дополнительный пакет Android Package Kit (APK) с именем .app.apk :
После анализа мы обнаружили, что это ложная функция, и никакой новой полезной нагрузки не создается. Условия для создания дополнительной полезной нагрузки никогда не выполняются. Сделав еще один шаг, мы перестроили вредоносное ПО для выполнения очевидной функции создания полезной нагрузки, но обнаружили, что APK, хранящийся в каталоге / res / raw /, пуст. Размещение функции приманки, вероятно, предназначено для того, чтобы сбить с толку исследователей вредоносных программ. Также возможно, что эта функция находится в стадии разработки, что делает этот код заполнителя неполным.
Возвращаясь к потоку выполнения, как только шпионское ПО скрывается, оно запускает службу Android с именем MainService . Сервисы Android - это компоненты, которые можно заставить работать независимо в фоновом режиме без ведома жертвы. MainService - это мозг этого шпионского ПО, который контролирует практически все - от кражи данных жертвы до их удаления. Все его возможности обсуждаются позже в этом блоге.
Поскольку MainService является основным контроллером, разработчик предпринял соответствующие действия, чтобы поддерживать его работоспособность и постоянную работу.
Разработчик вредоносного ПО использует для этого разные тактики, и одна из них - широковещательные приемники Android. Приемники трансляций - это компоненты, которые позволяют вам регистрироваться для различных событий Android. В этом случае он регистрирует три широковещательных приемника:
- MyReceiver - срабатывает при загрузке устройства.
- Перехватить вызов - запускает входящие и исходящие вызовы.
- AlarmReceiver - срабатывает каждые три минуты.
На экране 4 показан MyReceiver в действии, когда он в конечном итоге вызывает службу MainService .
InterceptCall приемник срабатывает всякий раз , когда имеется входящий или исходящий вызов. Он устанавливает определенные параметры в отношении сведений о вызове, а дополнительная служба с именем c alls берет на себя управление, как показано на рисунке 5.
Как показано выше, служба вызовов хранит сведения о входящих вызовах в формате .mp3 в каталоге /sdcard/DCIM/.dat/ с именем файла, к которому добавляется «In_ » для входящих вызовов и «Out_ » для исходящих вызовов. О том, как эти записанные вызовы отправляются на сервер управления и контроля (CnC), заботится MainService , который обсуждается далее.
MainService является центральным контроллером этого шпионского ПО. Он управляет каждой функцией на основе команд, отправляемых сервером управления и контроля (C&C).
Как только эта служба запускается, она создает два процесса, которые заботятся о подключении и отключении от C&C сервера. Эту функциональность можно увидеть на рисунке 6.
