И кошелек, и жизнь

Маскировка вредоносных программ под системные сервисы – весьма востребованный у злоумышленников прием. В случае с операционной системой Android нам регулярно встречаются попытки замаскировать мобильные зловреды под предустановленные системные приложения, такие как «Настройки», «Фонарик» и другие. Но недавно к нам на анализ попал троянец, выдающий себя за официальный магазин приложений Google Play и за клиент платежной системы Google Wallet одновременно.

Процесс работы

Троянец распространяется посредством SMS-спама, сообщения содержат предложение установить обновление для магазина приложений Google и ссылку для скачивания APK-файла. После установки зловред появляется в списке приложений под именем Play Маркет.

Троянец в списке приложений

Сразу после запуска троянец в цикле запрашивает права администратора устройства, блокируя возможность работы с устройством до их получения. Добившись прав администратора, зловред показывает пользователю окно с со следующим текстом:

«В связи с изменениями в текущем законодательстве США "О защите персональной информации" и "О борьбе с киберпреступностью", а также для идентификации пользователей ОС Android, все пользователи должны пройти процедуру открытия Google Wallet и последующую персонификацию, посредством ввода своих банковских реквизитов. Данная процедура ОБЯЗАТЕЛЬНА для прохождения. До окончания процесса Ваш телефон будет заблокирован.

В течении 24 часов после прохождения идентификация с вашей банковской карты будет списана случайная сумма от 0.01$ до 1.00$. Убедитесь, что данная сумма есть на вашей карте. Это необходимо для авторизации вашей банковской карты в Google Wallet»

После того как пользователь, нажатием на кнопку с текстом «Я согласен на передачу своих персональных данных в компанию Google«, подтвердит, что он ознакомился с этой информацией, троянец показывает ему другое окно, в котором предлагает жертве ввести номер своей банковской карты, указать срок ее действия, CVC/CVV и дату своего рождения.

Интерфейс троянца

Оба окна показываются поверх всех остальных, в том числе поверх экрана блокировки. Убрать их, фактически, невозможно: закрытое окно немедленно открывается вновь. Злоумышленники рассчитывают на то, что пользователь поверит псевдоофициальному тексту сообщения и примет невозможность его закрытия за признак чрезвычайной важности данного уведомления.

Код, отвечающий за перекрытие интерфейса

Перед отправкой на сервер реквизиты банковской карты проходят проверку на валидность BIN (Bank Identification number) и на принадлежность карты следующему списку вендоров:

• America Express
• Diners Club Carte Blanche
• Diners Club International
• JCB
• Laser
• Visa Electron
• Visa
• Mastercard
• Maestro
• Discover

Если данные не проходят одну из проверок, пользователя просят ввести их заново.

Проверка банковской карты на валидность

После ввода пользователем корректных данных, троянец закрывает окно и отсылает данные на сервер злоумышленникам.

Далее при нажатии на иконку фальшивого Play Market, зловред не проявляет видимых признаков активности. Но, как известно, «в тихом омуте черти водятся»: все произошедшее до этого – лишь «приятное дополнение» к основной функциональности троянца. Прелюдия, в ходе которой он укореняется в сознании пользователя как легитимное приложение и одновременно получает его финансовые данные.

За кулисами

После успешной отправки реквизитов банковской карты начинается вторая и главная «жизнь» зловреда. Раз в 10 минут он обращается к серверу злоумышленников за командами, отправляя туда в HTTP POST-запросе следующую информацию:

• sub=p – метаданные (служебная информация) троянца, хранятся в манифесте:
<meta-data android:name="sub" android:value="p" />

1	<meta-data android:name="sub" android:value="p" />

• subacc=def – метаданные троянца, хранятся в манифесте:
<meta-data android:name="subacc" android:value="def" />

1	<meta-data android:name="subacc" android:value="def" />

• deviceid – Android ID пользователя;
• imei — IMEI;
• packagename – имя пакета троянца;
• operator – имя сотового оператора пользователя;
• tel – номер телефона пользователя;
• sdk – версия Android SDK пользователя;
• model – наименование устройства пользователя;
• imsi – IMSI;
• timer – интервал обращения к серверу киберпреступников, по-умолчанию 600 секунд (10 минут);
• filter – регулярное выражение. Если SMS приходит с номера, соответствующему данному регулярному выражению, то оно удаляется;
• filter2 — регулярное выражение. Если SMS содержит текст, соответствующий данному регулярному выражению, то оно удаляется;
• typenet – тип текущего активного подключения к интернету;
• type – тип запроса к сервер злоумышленников(запрос по таймеру, результат выполнения соответствующей команды);
• data – дополнительные параметры;

Ответ от сервера злоумышленников может содержать следующие команды:

1. timer – установить новый интервал обращений к серверу злоумышленников;
2. hideall – завершить все процессы приложения и закрыть все окна;
3. setfilter – установить регулярные выражения для фильтрации входящих SMS;
4. send – отправить SMS на указанный номер с указанным текстом;
5. opentemplate – скачать HTML-страницу по заданной ссылке и показать ее пользователю;
6. postfile – загрузить файл на указанный URL;
7. opendialog – показать пользователю диалоговое окно, содержащее заданный текст, поле для ввода и две кнопки (“OK” и “Cancel”). Окно будет отображаться поверх всех других окон, пока в поле не будет введен текст и не нажата кнопка ОК. После нажатия на кнопку ОК, данные из поля для ввода будут отправлены на сервер злоумышленников. При нажатии на кнопку Cancel окно будет открываться снова. При открытии окна телефон может вибрировать и издавать звуковой сигнал (в соответствии с параметрами команды от сервера злоумышленников);
8. getcalls – отправить журнал вызовов пользователя на сервер злоумышленников;
9. searchsms – найти SMS по заданному шаблону и отправить на сервер злоумышленников;
10. call – позвонить на указанный номер;
11. openbrowser – открыть страницу по указанному URL в браузере пользователя по-умолчанию;
12. getEmails – отправить на сервер злоумышленников e-mail адреса пользователя, хранящиеся в хранилище онлайн-аккаунтов пользователя;
13. getGeo – отправить на сервер злоумышленников данные о местоположении пользователя;
14. getapps – отправить на сервер злоумышленников список установленных приложений пользователя;
15. getSms – отправить на сервер злоумышленников все SMS пользователя;
16. getContacts – отправить на сервер злоумышленников список контактов пользователя;
17. getBrowser – отправить на сервер злоумышленников список закладок из браузера пользователя;
18. getThumb – отправить на сервер злоумышленников миниатюры изображений из галереи пользователя;
19. getIMG – отправить на сервер злоумышленников заданное изображение из галереи пользователя.

Как мы видим, за «строгим исполнителем» законодательства США скрывается мощный троянец-шпион с богатыми возможностями по сбору информации о пользователе мобильного устройства. Полученные на первом этапе работы права администратора устройства позволяют зловреду укорениться в системе и долгое время компрометировать пользователя.

Ретроспектива

Другой троянец, очень похожий на рассматриваемый в данной статье, попал к нам в лабораторию еще в конце прошлого года. Обладая аналогичной шпионской функциональностью, он отличался только маскировкой: троянец выдавал себя за мобильное приложение крупного немецкого банка. После установки зловред просил пользователя ввести PIN-код неизвестно от чего, возможно, от банковской карты.

Второй вариант маскировки троянца

Анализ данного троянца показал, что тот даже не утруждает себя отправкой полученной информации на сервер злоумышленников. Кроме того, троянец не пытается перекрыть своим сообщением интерфейс телефона: пользователь может без особого труда закрыть окно «банковского приложения». Возможно, перед нами более ранняя версия троянца, еще не обладающая столь «приятной» функциональностью.

В целом, оба обнаруженных троянца устроены так, что позволяют легко конфигурировать часть, ответственную за введение пользователя в заблуждение. Содержимое выводимого на экран окна сохранено во внешнем по отношении к коду HTML-файле – благодаря такому подходу, даже неразбирающиеся в коде троянца злоумышленники могут без труда изменять демонстрируемое сообщение, ориентируя его на различные группы потенциальных жертв, будь то русскоязычные пользователи Google Wallet или немецкоязычные клиенты крупного банка.

Статистика заражений

Описываемый зловред детектируется продуктами «Лаборатории Касперского» как Trojan-SMS.AndroidOS.FakeInst.ep. Всего с начала года мы обнаружили около сотни представителей семейства FakeInst, атаковавших более 1200 пользователей по всему миру.

Распределение атакованных пользователей по дате атаки

Судя по географии заражений, описанный выше модульный подход к конфигурированию зловреда дает плоды – попытки заражения встречаются по всему миру. Но наибольшая их доля приходится на рассматриваемую нами версию троянца, действующую в России. Кампания по распространению Trojan-SMS.AndroidOS.FakeInst.ep стартовала в начале апреля и продолжается до сих пор, хотя и не так активно.