• smmdrugs200x200 ismm200x200 200-200 200-200 discord200x200
hSg5U8O

Подробный анализ шпионского ПО, маскирующегося под TikTok

Altaran

Модератор
Команда форума
Недавняя угроза запрета TikTok в Соединенных Штатах захватила Интернет штурмом и вызвала неоднозначную реакцию со стороны социальных сетей и пользователей Интернета. Президент США Дональд Трамп приказал ByteDance, материнской компании TikTok, продать свои активы TikTok в США, а также издал распоряжения , запрещающие приложениям для социальных сетей TikTok и WeChat работать в США, если продажа не состоится в ближайшее время. несколько недель. С другой стороны, ByteDance подала в суд на администрацию Трампа .
Когда популярные приложения подвергаются критике и занимают видное место в новостях, хакеры воодушевляются, поскольку эти достойные новостей приложения могут стать их последней целью. И TikTok не исключение.

Как правило, после того, как приложение забанено в официальном магазине приложений, таком как Google Play, пользователи пытаются найти альтернативные способы загрузки приложения. При этом пользователи могут стать жертвами вредоносных приложений, изображающих себя за исходное приложение. Недавно прошла огромная волна SMS-сообщений, а также сообщений Whatsapp, в которых пользователи просили загрузить последнюю версию TikTok по адресу hxxp: // tiny [.] Cc / TiktokPro. На самом деле это загруженное приложение представляет собой поддельное приложение, которое запрашивает учетные данные и разрешения Android (включая разрешения камеры и телефона), в результате чего пользователя засыпают рекламой.

Недавно мы столкнулись с еще одним вариантом этого приложения, изображающим себя как TikTok Pro, но это полноценное шпионское ПО с дополнительными функциями, позволяющими с легкостью шпионить за жертвой. (Обратите внимание, что это другое приложение, а не то, которое распространяется hxxp: // tiny [.] Cc / TiktokPro.)

Технический анализ
Имя приложения :TikTok Pro
Хеш:9fed52ee7312e217bd10d6a156c8b988
Имя пакета :com.example.dat.a8andoserverx

После установки шпионское ПО изображает себя как TikTok, используя имя TikTok Pro. Как только пользователь пытается открыть приложение, оно запускает поддельное уведомление, и вскоре уведомление, а также значок приложения исчезают. Эта тактика поддельного уведомления используется для перенаправления внимания пользователя, в то время как приложение скрывается, заставляя пользователя думать, что приложение неисправно.

Эту функциональность можно увидеть на рисунке 1.

1_tiktok_icon_edit.png


За кулисами одновременно происходит ряд процессов. Сначала запускается действие с именем MainActivity , которое скрывает значок и отображает поддельное уведомление. Он также запускает службу Android с именем MainService.

У шпионского ПО также есть дополнительная полезная нагрузка, хранящаяся в каталоге / res / raw / . Это распространенный метод, используемый разработчиками вредоносных программ для объединения основной полезной нагрузки в пакет Android, чтобы избежать легкого обнаружения. Как видно на рисунке 2, приложение пытается открыть полезную нагрузку из каталога / res / raw / и создать дополнительный пакет Android Package Kit (APK) с именем .app.apk :

2_TT_junk_code_edited.png


После анализа мы обнаружили, что это ложная функция, и никакой новой полезной нагрузки не создается. Условия для создания дополнительной полезной нагрузки никогда не выполняются. Сделав еще один шаг, мы перестроили вредоносное ПО для выполнения очевидной функции создания полезной нагрузки, но обнаружили, что APK, хранящийся в каталоге / res / raw /, пуст. Размещение функции приманки, вероятно, предназначено для того, чтобы сбить с толку исследователей вредоносных программ. Также возможно, что эта функция находится в стадии разработки, что делает этот код заполнителя неполным.

Возвращаясь к потоку выполнения, как только шпионское ПО скрывается, оно запускает службу Android с именем MainService . Сервисы Android - это компоненты, которые можно заставить работать независимо в фоновом режиме без ведома жертвы. MainService - это мозг этого шпионского ПО, который контролирует практически все - от кражи данных жертвы до их удаления. Все его возможности обсуждаются позже в этом блоге.

3_TT_hideicon_code_and_mainServiceStart_edited.png


Поскольку MainService является основным контроллером, разработчик предпринял соответствующие действия, чтобы поддерживать его работоспособность и постоянную работу.

Разработчик вредоносного ПО использует для этого разные тактики, и одна из них - широковещательные приемники Android. Приемники трансляций - это компоненты, которые позволяют вам регистрироваться для различных событий Android. В этом случае он регистрирует три широковещательных приемника:

  • MyReceiver - срабатывает при загрузке устройства.
  • Перехватить вызов - запускает входящие и исходящие вызовы.
  • AlarmReceiver - срабатывает каждые три минуты.
MyReceiver и AlarmReceiver начать MainService всякий раз , когда происходят соответствующие события. Эта тактика очень распространена среди разработчиков вредоносных программ, чтобы гарантировать, что вредоносное ПО не будет уничтожено ОС Android или каким-либо другим способом.

На экране 4 показан MyReceiver в действии, когда он в конечном итоге вызывает службу MainService .

4_TT-MyReceiver_edited.png


InterceptCall приемник срабатывает всякий раз , когда имеется входящий или исходящий вызов. Он устанавливает определенные параметры в отношении сведений о вызове, а дополнительная служба с именем c alls берет на себя управление, как показано на рисунке 5.

5_TT_Calls_Service_edited.png


Как показано выше, служба вызовов хранит сведения о входящих вызовах в формате .mp3 в каталоге /sdcard/DCIM/.dat/ с именем файла, к которому добавляется «In_ » для входящих вызовов и «Out_ » для исходящих вызовов. О том, как эти записанные вызовы отправляются на сервер управления и контроля (CnC), заботится MainService , который обсуждается далее.

MainService является центральным контроллером этого шпионского ПО. Он управляет каждой функцией на основе команд, отправляемых сервером управления и контроля (C&C).

Как только эта служба запускается, она создает два процесса, которые заботятся о подключении и отключении от C&C сервера. Эту функциональность можно увидеть на рисунке 6.

6_TT-TimerTask_edited.png
 

Altaran

Модератор
Команда форума
MainService имеет следующие возможности:

  • Украсть SMS-сообщения
  • Отправлять смс сообщения
  • Украсть местонахождение жертвы
  • Сделать фото
  • Выполнять команды
  • Снимать скриншоты
  • Звоните по номерам телефонов
  • Запускать другие приложения
  • Украсть учетные данные Facebook и т. Д.
Все вышеперечисленные функции выполняются на основе команд, отправленных злоумышленником. Украденные данные хранятся во внешнем хранилище в каталоге / DCIM / со скрытым подкаталогом с именем «.dat» .

Ниже приведен список всех команд, обслуживаемых C&C сервером.


КомандаДействие
UnistxcrПерезапустите приложение
DowsizetrОтправьте файл, хранящийся в каталоге /sdcard/DCIM/.dat/, на C&C сервер
CaspylistxПолучите список всех скрытых файлов в каталоге /DCIM/.dat/
spxcheckПроверить, собирает ли шпионское ПО данные о звонках
S8p8y0Удалить данные о звонках, сохраненные шпионским ПО
screXmexСделайте скриншоты экрана устройства
BatrxiopsПроверить состояние батареи
L4oclOCMAWSПолучить местонахождение жертвы
GUIFXBЗапустите поддельную страницу входа в Facebook
IODBSSUEEZОтправить файл, содержащий украденные учетные данные Facebook, на C&C сервер
FdelSRRTУдалите файлы, содержащие украденные учетные данные Facebook
ChkstzeawЗапустить Facebook
LUNAPXERЗапускать приложения в соответствии с именем пакета, отправленным C&C сервером
GapxplisterПолучите список всех установленных приложений
DOTRall8xxeЗаархивируйте все украденные файлы и сохраните в каталоге /DCIM/.dat/
AcouxacourПолучить список учетных записей на устройстве жертвы
FimxmiisxОткрыть камеру
Scxreexcv4Сделать снимок
micmokmi8xЗахват аудио
ЮфссспПолучите широту и долготу
GExCaalsss7Получить журналы вызовов
PHOCAs7Звоните по номерам телефонов, отправленным C&C сервером
GxextsxmsПолучить список входящих SMS-сообщений
MsppossagОтправить SMS с телом сообщения, отправленным C&C сервером
GetconstactxПолучите список всех контактов
РинксгосаВоспроизвести рингтон
bithsssp64Выполнять команды, отправленные C&C сервером
DOWdeletxУдаляет файл, указанный C&C сервером
Deldatall8Удалите все файлы, хранящиеся в каталоге /sdcard/DCIM/.dat/

У нас нет места для описания всех команд, но давайте рассмотрим некоторые из основных.

Facebook фишинг
Одной из интересных особенностей этого шпионского ПО является возможность кражи учетных данных Facebook с помощью поддельной страницы входа, похожей на фишинг.
Получив команду GUIFXB, шпионское ПО запускает поддельную страницу входа в Facebook. Как только жертва пытается войти в систему, она сохраняет учетные данные жертвы в /storage/0/DCIM/.fdat.


7_TT_fb_login_edited.png


Вторая команда - это IODBSSUEEZ, которая далее отправляет украденные учетные данные на C&C сервер, как показано на рисунке 8.



8_TT_fb_creds_to_CnC_edited.png


Эта функция может быть легко расширена для кражи другой информации, такой как учетные данные банка, хотя мы не видели, чтобы какой-либо банк подвергался атаке.


Функциональность вызова

Команда PHOCAs7 запускает функцию вызова. Номер для вызова поступает вместе с командой, как показано на рисунке 9.

9_TT_call_command_edited.png


Номер телефона выбирается из ответа от C&C сервера и сохраняется в переменной str3 , которая в дальнейшем используется с помощью функции tel : .

Кража СМС
Команда Gxextsxms отвечает за выборку всех SMS-сообщений с устройства жертвы и их отправку на C&C сервер.

10_TT_sms_code_edited.png
 

Altaran

Модератор
Команда форума
Точно так же есть много важных команд, которые позволяют этой шпионской программе выполнять дополнительные функции, такие как выполнение команд, отправленных C&C, щелчок по фотографиям, создание снимков экрана, кража информации о местоположении и многое другое.

Дальнейший анализ
В ходе дальнейшего исследования мы обнаружили, что это шпионское ПО разработано с помощью фреймворка, аналогичного Spynote и Spymax, что означает, что это может быть обновленная версия этих сборщиков троянцев, которые позволяют любому, даже с ограниченными знаниями, разрабатывать полноценное шпионское ПО.

Многие из функций этого шпионского ПО аналогичны Spynote и Spymax на основе проанализированных нами образцов с некоторыми изменениями. Этот образец шпионского ПО общается через динамический DNS. Поступая таким образом, злоумышленники могут легко настроить трояна для обратной связи с ними без необходимости использования высокопроизводительных серверов. Другие общие функции включают выполнение команд, полученных от злоумышленника, создание снимков экрана устройства жертвы, получение местоположения, кражу SMS-сообщений и наиболее распространенные функции, которые может иметь каждое шпионское ПО.

Кража учетных данных Facebook с использованием поддельной активности в Facebook - это то, чего мы не наблюдали в версиях Spynote / Spymax, но наблюдались в этом шпионском ПО.

Эта структура позволяет любому разработать вредоносное приложение с желаемым значком и адресом связи. Некоторые из используемых значков можно увидеть ниже. Мы нашли 280 таких приложений за последние три месяца.

12_TT_major_icons.png


Все эти приложения разрабатываются одной и той же структурой и, следовательно, имеют одинаковое имя пакета и информацию о сертификате, как показано на рисунке 12.

11_TT_Cert.png


Вывод
Из-за повсеместного распространения мобильных устройств и широкого использования Android злоумышленникам очень легко стать жертвой пользователей Android. В таких ситуациях мобильные пользователи всегда должны принимать максимальные меры предосторожности при загрузке любых приложений из Интернета. Жертву очень легко обмануть, чтобы она попалась на такую атаку.

Пользователи, которые с нетерпением ждут возможности использовать приложение TikTok в условиях запрета, могут поискать альтернативные способы загрузки приложения. При этом пользователи могут по ошибке установить вредоносные приложения, такие как шпионское ПО, упомянутое в этом блоге.

Меры предосторожности, которые вы принимаете в Интернете, подробно описаны почти во всех наших блогах; Тем не менее, мы считаем, что эту информацию стоит повторить. Пожалуйста, соблюдайте следующие основные меры предосторожности во время текущего кризиса - и всегда:
  • Устанавливайте приложения только из официальных магазинов, например Google Play.
  • Никогда не переходите по неизвестным ссылкам, полученным через рекламу, SMS-сообщения, электронные письма и т.п.
  • Всегда отключайте параметр «Неизвестные источники» на устройстве Android. Это запрещает установку приложений на ваше устройство из неизвестных источников.
Мы также хотели бы отметить , что если вы столкнетесь с приложением скрывающей его значок, всегда стараюсь искать приложения в настройках устройства (перейдя в Настройки -> Программы -> Поиск иконку , которая была скрыта ). В случае этого шпионского ПО найдите приложение под названием TikTok Pro.
 

Заработок на выполнении простых заданий. Без вложений на Socpublic!

Верх