Firestarter-Trojaner
Der Firestarter-Trojaner ist eine neue Android-Loader-Malware, die den legitimen Firebase Cloud Messaging-Dienst (FCM) für die Kommunikation mit der Command-and-Control-Infrastruktur (C2, C&C) missbraucht. Firebase ist eine Tochtergesellschaft des Technologiegiganten Google. Der FCM-Dienst ist ein plattformübergreifendes Cloud-Tool für Nachrichten und Benachrichtigungen für Android, iOS und andere Webanwendungen.
Der Firestarter-Trojaner wurde im Rahmen der Operationen der erweiterten Gruppe für persistente Bedrohungen namens DoNot erkannt. Die Malware-Bedrohung zeigt die Bemühungen von DoNot, die Beständigkeit ihrer auf den gefährdeten Geräten etablierten Stützpunkte zu stärken. Es zeigt auch die Fähigkeit der Hacker, neue Techniken zu übernehmen und diese schnell in ihre Malware-Tools zu implementieren. Der Hauptfokus von DoNot lag weiterhin auf der Region Südasien und insbesondere auf Indien und Pakistan.
Obwohl dies nicht entscheidend bestätigt wurde, besteht der wahrscheinlichste Verteilungsvektor des Firestarter-Laders in sozial entwickelten Direktnachrichten, die versuchen, die ahnungslosen Benutzer dazu zu bringen, eine bedrohliche Anwendung zu installieren, die sich als Chat-Plattform ausgibt. Die Namen der Anwendungsdateien - ashmir_sample.apk oder Kashmir_Voice_v4.8.apk - zeigen DoNots anhaltendes Interesse an der Kashmir-Krise.
Firestarter-Trojaner missbraucht legitimen Dienst
Nach der Ausführung initiiert die Malware-Anwendung eine Umleitungsroutine, die mehrere gefälschte Fehlermeldungen enthält, die dem Benutzer angezeigt werden, um seine bedrohliche Aktivität zu verbergen. In den Nachrichten wird fälschlicherweise angegeben, dass die Anwendung nicht unterstützt wird und dass sie deinstalliert wird. Um vorzutäuschen, dass die Anwendung nicht mehr installiert ist, wird das Symbol von der Benutzeroberfläche entfernt. Wenn Sie jedoch die Geräteeinstellungen durchgehen, wird angezeigt, dass die Anwendung noch auf dem Gerät vorhanden ist und im Hintergrund arbeitet.
Die Hauptfunktionalität des Firestarter-Trojaners besteht darin, eine Verbindung zu den C2-Servern herzustellen und die Malware-Nutzdaten bereitzustellen und auszuführen. Bei der ausgehenden Kommunikation sendet der Loader ein Google FCM-Token, das verschiedene Systeminformationen enthält, darunter IP-Adresse, Geolocation, IMEI und E-Mail-Adresse. Mithilfe dieser ersten Informationen können Hacker feststellen, ob das Ziel es wert ist, mit der Hauptbedrohung für Malware infiziert zu werden. Wenn sie fortfahren möchten, senden die Cyberkriminellen eine FCM-Nachricht an den Loader zurück, der den Link enthält, von dem aus sie die Nutzdaten abrufen müssen.
Die Tatsache, dass der Firestarter-Trojaner-Verkehr einen legitimen Dienst ausnutzt, trägt dazu bei, dass er sich besser in den Rest der Kommunikation einfügt, die vom Android-Betriebssystem mithilfe der Google-Infrastruktur generiert wird. Eine weitere Maßnahme gegen die einfache Erkennung ist das Herunterladen der bedrohlichen Nutzlast nach der Kompromittierung, wodurch der anfängliche Fußabdruck der Malware-Bedrohung minimiert wird, der zum Infiltrieren des Zielgeräts erforderlich ist.
