Зловреды для Android на любой вкус

Введение

Наши специалисты достаточно часто сталкиваются с вредоносным ПО для мобильных устройств. В 2023 году наши технологии заблокировали 33,8 миллиона атак с использованием вредоносных, рекламных и потенциально опасных программ на мобильных устройствах. Одна из самых громких атак, выявленных нашими экспертами, стала «Операция Триангуляция», целью которой были устройства под iOS, но это скорее редкий случай. Если говорить о мобильных платформах, то наиболее популярной целью злоумышленников остается Android. В прошлом месяце мы опубликовали четыре закрытых отчета о таких приложениях, и в этой статье кратко расскажем о трех из них.

Если вы хотите узнать больше о нашем сервисе информирования о crimeware, напишите по адресу crimewareintel@kaspersky.com.

Tambir

Tambir – бэкдор для Android, который атакует пользователей из Турции. Она маскируется под IPTV-плеер, но заявленных функций не выполняет. На самом деле это полноценная шпионская программа, которая, в числе прочего, крадет SMS-сообщения и отслеживает набираемый текст.

При запуске приложения на экране появляется запрос на турецком языке на доступ к специальным возможностям. Получив все необходимые разрешения, программа получает адрес командного сервера из открытого источника (например, из Telegram, ICQ или Twitter/X), после чего значок приложения меняется на значок YouTube.

Зашифрованный адрес C2 в приглашении в чат

Tambir может выполнять более 30 команд, например включать и выключать функцию кейлоггера, запускать приложения, отправлять SMS-сообщения и набирать номер.

Мы обнаружили некоторые сходства между зловредами Tambir и GodFather. Они оба атакуют пользователей из Турции и получают адрес командного сервера из Telegram, однако возможности Tambir гораздо шире.

Dwphon

В ноябре 2023 года нам попался еще один образец вредоносного ПО для Android, который атаковал устройства китайских OEM-производителей. Большинство таких устройств реализуются на российском рынке. Ранее этот же зловред нашли в прошивке детских смарт-часов от израильского производителя, которые распространялись в Европе и странах Ближнего Востока.

Dwphon маскируется под системный компонент для обновления приложений и имеет ряд признаков предустановленного вредоносного ПО для Android. В частности, этот зловред собирает персональные данные, а также сведения об устройстве и установленных сторонних приложениях. Точный путь заражения пока не ясен, однако есть подозрение, что вредоносное приложение было встроено в прошивку в результате возможной атаки через цепочку поставок.

Зловред состоит из нескольких модулей с разными функциями.

• Основной модуль. Собирает сведения о системе (например, IMSI, язык системы и другие) и передает их на командный сервер. Может устанавливать, загружать и удалять приложения, скачивать файлы, показывать всплывающие окна и выполнять другие команды.
• Модуль DsSdk. Еще один модуль, собирающий данные об устройстве. У этого модуля отдельный командный сервер, и он не может принимать команды.
• Модуль ExtEnabler. Этот модуль запускает другие приложения и следит за ними. Одна из его задач — оправлять широковещательные сообщения при запуске приложения. Из всех образцов, которые мы проверили, код приемника был только в одном. В нем же мы нашли троянца Triada, что говорит о возможной связи между Dwphon и Triada, однако убедительных доказательств этого у нас нет.

Gigabud

Gigabud – троянец для удаленного доступа (RAT) под Android, активный как минимум с середины 2022 года, но впервые обнаруженный только в январе 2023-го. Сначала он собирал банковские данные пользователей из Юго-Восточной Азии под видом приложения местной авиакомпании, затем он появился в других странах, в том числе в Перу, и стал выдавать себя за приложение для получения кредита.

Зловред был написан на языке Kotlin и изначально обфусцировался с помощью Dexguard, а позже – посредством Virbox. Существует несколько вариантов троянца, которые маскируются под официальные приложения различных организаций из Перу, Таиланда и других стран. При запуске зловреда на экране появляется форма для входа в учетную запись имитируемого приложения. Полученные учетные данные отправляются на командный сервер вместе с информацией об устройстве. Затем виртуальный ассистент помогает пользователю отправить заявку на получение кредита.

После этого приложение просит пользователя включить специальные возможности (если они еще не включены), с помощью которых оно и крадет учетные данные и успешно обходит двухфакторную аутентификацию, имитируя события касания.

Информация, которую крадет Gigabud

Gigabud не только крадет учетные данные, но и записывает видео экрана с помощью специального модуля. Его основная функция – извлечь учетные данные с зараженного устройства посредством трансляции экрана через WebSocket или RTMP на командный сервер.

Gigabud содержит многочисленные артефакты на китайском языке. Например, журнальные сообщения и сертификат подписи файла APK. Кроме того, командные серверы троянца находятся в Китае.

Заключение

В 2023 году мы выявили более 1,3 миллиона распространяемых различными способами уникальных вредоносных установочных пакетов для атак на платформу Android. Такие зловреды редко содержат эксплойты и полагаются исключительно на то, что пользователь сам выдаст им нужные права. Чтобы обезопасить себя, скачивайте приложения из официальных магазинов и внимательно проверяйте запрашиваемые разрешения. И конечно же, пользуйтесь решениями для защиты вашего устройства Android от вредоносного ПО.

Если вы хотите получать свежую информацию о новейших тактиках, техниках и процедурах злоумышленников или задать вопрос о наших закрытых отчетах, пишите по адресу crimewareintel@kaspersky.com.

Индикаторы компрометации

Gigabud
043020302ea8d134afbd5bd37c05d2a8
0960de9d425b5157720f59c2901d4e3b
0677a090eb28837b1bbf3e6ab1822fdd

Dwphon
042f041108a79ac07d7b3165531faa9a
1796e678498bf9a067c43769f4096488
274b8d86042d94a6ca6823841fec6d2c

Tambir
04807757a54ce0fbc8326ea8b11f8169
06148a2e5828e6844c2a1a74030d22b6
098dac0668497d9707045bc1e10ced93