Троян для Android

Сегодня трудно представить нашу жизнь без смартфонов. Их используют более 3,5 миллиардов людей по всему миру и, по статистике, на более чем 85% смартфонов — около 3 миллиардов — установлена операционная система Android.

Мошенники и создатели вредоносного ПО активно используют эту обширную базу пользователей в своих интересах: пытаются украсть персональную информацию и данные банковских карт, а также создают различные программы для получения прибыли, например шпионское ПО, программы-вымогатели и многие другие.

Тем не менее, получить доступ к смартфону не так просто: для этого злоумышленнику необходимо обойти встроенную систему безопасности и проникнуть в официальный магазин приложений, такой как Google Play. Мошенникам постоянно приходится изобретать новые способы заражения мобильных устройств, совершенствовать навыки обхода средств защиты и придумывать, как замаскировать вредоносное ПО, чтобы его не удалили из официальных магазинов.

Check Point Research обнаружили в даркнете группу создателей вредоносных программ для мобильных устройств на платформе Android. Эта находка оказалась необычной даже по меркам даркнета. В подразделении было решено провести расследование с целью выяснить, кто стоит за разработкой вредоносного ПО, какие программы они производят и как им удалось создать целую бизнес-модель для продвижения своих продуктов.

В глубинах даркнета

Исследователи Check Point Research отследили активность злоумышленника под ником Triangulum на нескольких форумах в даркнете. Слово Triangulum в переводе с латыни означает «треугольник», и оно связано с названием одноименной галактики, которая удалена от Земли примерно на 3 миллиона световых лет. Галактику Треугольника трудно увидеть на ночном небе невооруженным глазом, как и обнаружить в Сети следы киберпреступника Triangulum. Но если его удалось найти, то отследить его деятельность довольно просто.

За два прошедших года Triangulum продемонстрировал впечатляющие способности к обучению. Он оценил потребности рынка, создал сеть партнерских отношений, вложил средства и распространил вредоносное ПО среди потенциальных покупателей. Triangulum впервые появился на хакерских форумах в 2017 году. С самого начала было заметно, что он обладает техническими навыками в области обратного проектирования вредоносных программ, но более тщательный анализ его дебютных работ показал, что он — разработчик-любитель.

Запуск первого продукта

10 июня 2017 года Triangulum представил свою первую программу — мобильный троян удаленного доступа для атак на устройства на платформе Android, позволяющий похищать конфиденциальную информацию с помощью C&C-сервера, стирать данные на самом устройстве, а в некоторых случаях даже полностью удалять операционную систему.

Четыре месяца спустя она стала доступна для покупки. После этого Triangulum исчез из даркнета примерно на полтора года, вновь появившись 6 апреля 2019 с новым продуктом, готовым к продаже. С этого момента Triangulum оживился: в течение полугода он активно рекламировал свое ПО. Оказалось, что за время своего отсутствия ему удалось создать целую сеть для производства и распространения вредоносных программ.

Соучастники киберпреступлений

В ходе дальнейшего расследования команде исследователей Check Point Research удалось установить, что Triangulum работал вместе с другим злоумышленником под ником HexaGoN Dev, который специализировался на разработке вредоносного ПО для Android, преимущественно троянов удаленного доступа.

Ранее Triangulum приобрел несколько проектов, созданных HeXaGoN Dev. Навыки программирования HeXaGon Dev в сочетании с успешным социальным маркетингом Triangulum стали представлять реальную угрозу. Они создали несколько вредоносных программ для Android, включая криптомайнеры, кейлоггеры и P2P-бэкдоры.

Новое вредоносное ПО — Rogue

Затем Triangulum и HeXaGoN Dev объединили усилия для создания новой вредоносной программы. Rogue, относящийся к семейству мобильных троянов удаленного доступа, позволяет получать доступ к устройствам жертв, скачивать любые данные, в том числе фотографии, геолокацию, контакты и сообщения, изменять файлы на устройстве и загружать дополнительные вредоносные программы.

Получив все необходимые разрешения на смартфоне жертвы, Rogue скрывает свою иконку, чтобы пользователю было сложнее его удалить. Если разрешения не были получены, Rogue неоднократно требует их предоставить.

Затем программа регистрируется в качестве администратора устройства. Если пользователь попытается отозвать права администратора, на экране тут же появится пугающее сообщение: «Вы уверены, что хотите стереть все данные?»

Чтобы скрыть свои намерения, Rogue маскируется под официальное приложение от Google. В качестве C&C-сервера используется платформа Firebase, и все команды, управляющие вредоносным ПО, а также украденная с устройства информация доставляются с помощью инфраструктуры Firebase. Google Firebase включает в себя десятки сервисов, помогающих разработчикам создавать мобильные и веб-приложения.

Rogue использует следующие функции Firebase:

  • Cloud Messaging для получения команд от C&C-сервера;
  • Realtime Database для скачивания данных с устройства;
  • Cloud Firestore для загрузки файлов на устройство.

Заключение

В ходе исследования эксперты Check Point Research обнаружили полностью функционирующий рынок по продаже вредоносного мобильного ПО, процветающий в даркнете и на других тематических форумах. История трояна Rogue — пример того, как злоумышленники могут получить доступ к чужим смартфонам. Поскольку киберпреступники, такие как Triangulum, продолжают совершенствовать свое мастерство и продавать вредоносные мобильные приложения, необходимо проявлять бдительность в отношении новых угроз и понимать, как от них защититься.

Как защититься от вредоносного мобильного ПО

Киберпреступники знают, насколько важную роль в нашей жизни играют смартфоны, и понимают ценность персональных и корпоративных данных, которые мы в них храним. Ландшафт мобильных угроз быстро развивается, а мобильные вредоносные программы представляют все более серьезную угрозу как для личной, так и корпоративной безопасности.

Векторы атак на мобильные устройства имеют свою специфику, поэтому для их эффективной защиты требуется соблюдать следующие правила:

  • Регулярно обновляйте операционную систему. Чтобы противостоять уязвимостям повышения привилегий, на мобильных устройствах всегда должна быть установлена последняя версия операционной системы.
  • Скачивайте приложения только из официальных магазинов приложений. Так вы снизите вероятность установки вредоносного мобильного ПО.
  • Включите возможность удаленной очистки на всех мобильных устройствах, чтобы минимизировать потери личных данных.
  • Старайтесь не пользоваться публичными сетями Wi-Fi. Публичные сети упрощают злоумышленникам получение доступа к устройству и позволяют осуществлять атаку посредника. Чтобы защититься от киберугроз, используйте только надежные мобильные и Wi-Fi сети.

Чтобы защититься от мобильных угроз, эксперты Check Point Research рекомендуют решение для корпоративных мобильных устройств со встроенным антивирусом и функцией обнаружения угроз.

 

 

Похожие записи