Попытки злоумышленников замаскировать вредоносные программы под полезные приложения встречаются так часто, что стали обыденностью. Однако создатели нового мобильного троянца Gomal не только вышли на новый уровень маскировки, добавив в свое творение игру «крестики-нолики», но и снабдили зловреда интересными, новыми для подобного ПО техниками.
Началось все с того, что нам на анализ попала игра Tic Tac Toe. На первый взгляд приложение выглядело вполне безопасным:
Однако список запрашиваемых игрой разрешений заставил насторожиться. Зачем ей доступ в интернет, к контактам пользователя и архиву SMS, возможность обработки звонков и записи звука? Мы провели исследование и выяснили, что на деле эта «игра» является многофункциональным шпионским ПО. На данный момент это вредоносное приложение детектируется продуктами «Лаборатории Касперского» как Trojan-Spy.AndroidOS.Gomal.a.
Тщательное исследование зловреда показало, что код самой игры занимает меньше 30% основного исполняемого файла. Все остальное – функционал для слежки за пользователем и кражи личной информации.
Зеленым обведен код игры, а красным – вредоносная часть программы
Что входит в этот функционал? Прежде всего, зловред содержит ставшие уже стандартными для мобильных шпионов функции записи звука
и кражи SMS
Также троянец собирает информацию об устройстве и отправляет все полученные данные на сервер своих хозяев. Однако есть в Trojan-Spy.AndroidOS.Gomal.a и кое-что необычное – в комплекте с троянцем поставляется целый пакет интересных библиотек.
Часть этого пакета – эксплоит, необходимый для получения прав root на Android-устройстве. С расширенными правами приложение имеет доступ к различным сервисам ОС Linux (на базе которого построен Android), в частности к чтению памяти процесса и /maps.
После получения прав root троянец приступает к работе. Например, крадет почтовую переписку приложения Good for Enterprise, если оно установлено на смартфоне. Это приложение позиционируется как безопасный почтовый клиент для корпоративного использования, поэтому кража данных из него может обернуться серьёзными проблемами для компании, где работает атакованный сотрудник. Для атаки на Good for Enterprise троянец получает ID интересующего процесса при помощи консоли (команда ps) и читает виртуальный файл /proc//maps. Этот файл содержит информацию о выделенных приложению блоках памяти.
После получения списка блоков зловред находит блок [heap], содержащий строковые данные приложения, и создает его дамп при помощи еще одной библиотеки из своего пакета. Далее в полученном дампе памяти осуществляется поиск сигнатур, специфичных для почтовых сообщений, и найденные таким образом письма отправляются на сервер злоумышленников.
Кроме того, Gomal крадет информацию из logcat – встроенного в Android сервиса логирования, используемого для отладки приложений. Очень часто разработчики оставляют вывод критически важной информации в Logcat и после релиза своего приложения. Благодаря этому троянец может украсть еще больше конфиденциальной информации из других программ.
В результате безобидные на первый взгляд «крестики-нолики» предоставляют злоумышленникам доступ к огромному количеству личных данных пользователя и данных компании, в которой он работает. Используемые Gomal техники изначально появились в Windows-троянцах, но теперь, как мы видим, перекочевали в зловреды для Android. И что самое опасное, используя те же принципы, можно красть информацию не только из Good for Enterprise – не исключено, что в скором времени появится целая серия мобильных зловредов, атакующих широко распространенные почтовые клиенты, мессенджеры и другие программы.
Чтобы снизить риск заражения мобильным зловредом, мы рекомендуем:
- не включать в настройках безопасности режим «Установка приложений из сторонних источников»;
- устанавливать приложения только из официальных магазинов приложений (Google Play, Yandex Store и т.п.);
- внимательно следить за теми правами, которые приложения запрашивают при установке. Если набор прав не соответствует назначению приложения (например, игра запрашивает право на отправку SMS), отказаться от установки подозрительного приложения;
- использовать защитное ПО для Android.
Дополнение:
Trojan-Spy.AndroidOS.Gomal.a использует старую версию эксплойта, актуальную для устройств Samsung с версией операционной системы 4.0.4 и ниже. Таким образом, на устройствах с новыми прошивками атака именно этой версии зловреда на корпоративный почтовый клиент не будет успешной.
Мы пока не зарегистрировали попыток заражения наших пользователей троянцем Gomal. Но несмотря на то, что данный образец пока не распространен in the wild, мы детектируем его, чтобы в будущем эффективно предотвращать атаки мобильных зловредов, которые могут быть созданы на основе этого концепта.
«Крестики-нолики» с сюрпризом