Nekro-Trojaner
Im Jahr 2019 deckten Cybersicherheitsforscher ein beunruhigendes Problem auf: Eine legitime Android-Anwendung im Google Play Store wurde durch eine Drittanbieterbibliothek manipuliert, die von Entwicklern zur Generierung von Werbeeinnahmen verwendet wurde. Diese Änderung führte dazu, dass 100 Millionen Geräte mit von Angreifern kontrollierten Servern verbunden wurden, die dann versteckte Payloads ausspielten.
Eine ähnliche Situation ist nun erneut aufgetreten. Infosec-Experten haben zwei neue Anwendungen identifiziert, die 11 Millionen Mal von Google Play heruntergeladen wurden und mit derselben Malware-Familie infiziert sind. Es scheint, dass erneut ein unsicheres Software Development Kit zur Integration von Werbefunktionen schuld ist.
Inhaltsverzeichnis
Was ist ein SDK?
Software Development Kits (SDKs) bieten Entwicklern vorgefertigte Frameworks, die den Prozess der Anwendungserstellung vereinfachen und beschleunigen, indem sie Routineaufgaben übernehmen. In diesem Fall wurde ein nicht verifiziertes SDK-Modul in die Anwendungen integriert, das anscheinend zur Unterstützung der Anzeigenanzeige entwickelt wurde. Unter der Oberfläche ermöglichte es jedoch fortschrittliche Methoden zur verdeckten Kommunikation mit kompromittierten Servern. Dadurch konnten die Anwendungen Benutzerdaten hochladen und schädlichen Code herunterladen, der jederzeit ausgeführt oder aktualisiert werden konnte.
Wie infizieren die Necro-Trojaner Geräte?
Die Malware-Familie hinter beiden Kampagnen heißt Necro, und in diesem Fall verwenden einige Varianten fortgeschrittene Techniken wie Steganographie – eine seltene Verschleierungsmethode bei mobilen Bedrohungen. Bestimmte Varianten verwenden auch ausgefeilte Methoden, um betrügerischen Code zu übermitteln, der mit erhöhten Systemberechtigungen arbeiten kann. Sobald ein Gerät infiziert ist, kommuniziert es mit einem vom Angreifer gesteuerten Command-and-Control-Server. Es sendet verschlüsselte JSON-Daten, die Details über das kompromittierte Gerät und die Anwendung melden, die das betrügerische Modul hostet.
Der Server antwortet dann mit einer JSON-Nachricht, die einen Link zu einem PNG-Bild und Metadaten mit dem Hash des Bilds enthält. Wenn das Modul auf dem infizierten Gerät den Hash verifiziert, wird das Bild heruntergeladen.
Die Forscher erklärten, dass das SDK-Modul einen einfachen steganografischen Algorithmus verwendet. Nach Bestehen der MD5-Prüfung extrahiert es den Inhalt der PNG-Datei, insbesondere die Pixelwerte aus den ARGB-Kanälen, mithilfe von Standard-Android-Tools. Die Methode getPixel ruft einen Wert ab, bei dem das niederwertigste Byte den blauen Kanal des Bildes enthält, und die Malware beginnt von dort aus mit der Verarbeitung.
Der Necro-Trojaner könnte schwerwiegende Folgen haben
Nachfolgende Payloads, die von der Malware installiert werden, laden betrügerische Plug-ins herunter, die für jedes infizierte Gerät angepasst werden können, um verschiedene Aktionen auszuführen. Ein solches Plug-in ermöglicht die Ausführung von Code mit erhöhten Systemberechtigungen. Normalerweise verbietet Android privilegierten Prozessen die Verwendung von WebView – einer Komponente zum Anzeigen von Webseiten innerhalb von Anwendungen. Um diese Einschränkung zu umgehen, verwendet Necro eine als Reflexionsangriff bekannte Technik, um eine separate Instanz der WebView-Fabrik zu erstellen.
Darüber hinaus kann dieses Plugin andere Dateien herunterladen und ausführen, die über WebView angezeigte Links ändern. Mit erhöhten Systemrechten können diese ausführbaren Dateien URLs ändern, um Bestätigungscodes für kostenpflichtige Abonnements einzufügen und Code von vom Angreifer kontrollierten Links herunterzuladen und auszuführen. Bei ihrer Analyse von Necro identifizierten die Forscher fünf verschiedene Payloads. Darüber hinaus bietet die modulare Struktur von Necro der Malware zahlreiche Möglichkeiten, zu agieren.
Der Necro-Trojaner wurde in zwei Anwendungen gefunden
Forscher haben Necro in zwei Anwendungen auf Google Play entdeckt. Eine davon, Wuta Camera, wurde 10 Millionen Mal heruntergeladen. Die Versionen 6.3.2.148 bis 6.3.6.148 von Wuta Camera enthielten das bösartige SDK, das für die Infektionen verantwortlich war, aber die Anwendung wurde inzwischen aktualisiert, um die schädliche Komponente zu entfernen. Eine weitere Anwendung, Max Browser, mit ungefähr 1 Million Downloads, war ebenfalls infiziert; sie ist jedoch nicht mehr auf Google Play verfügbar.
Darüber hinaus entdeckten die Forscher, dass Necro eine Reihe von Android-Anwendungen infiziert, die auf alternativen Marktplätzen angeboten werden. Diese Anwendungen werden in der Regel als modifizierte Versionen legitimer Anwendungen präsentiert, darunter Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer und Melon Sandbox.
