Описание вредоносного ПО

MonitorMinor: злобный сталкер?

Сталкерское ПО следит за активностью в Gmail, WhatsApp, Instagram и Facebook. Что дальше? Telegram и Threema?

Обновлено 17 марта 2020

На днях в наши Android-ловушки попал интересный экземпляр коммерческого ПО, которое позиционируется как средство родительского контроля, но может быть использовано для слежения за членами семьи или коллегами — другими словами, для сталкинга. Такие программы часто относят к stalkerware. Присмотревшись к находке повнимательней, мы обнаружили, что на сегодняшний день это приложение по своим возможностям опережает все существующее ПО этого класса. Но обо всем по порядку.

Stalkerware сегодня

Что обычно умеет делать stalkerware? Самое простое – передавать текущие географические координаты жертвы. Таких «сталкеров» очень много в силу того, что для отображения координат используются специальные веб-ресурсы и их написание сводится к паре строк кода.

Часто создатели прибегают к технологии геофенсинга (geofencing), когда уведомление о передвижениях жертвы отправляется только в том случае, если она покидает определенный сектор или, наоборот, попадает в него. В некоторых случаях к передаче геопозиции добавляются функции перехвата SMS и данных о звонках (приложение, умеющее их записывать, попадается гораздо реже).

Но в наши дни SMS используется не так часто (в основном для получения одноразовых паролей) – их нишу практически полностью захватили мессенджеры, с помощью которых сегодня ведутся даже деловые переговоры. Мало того, они претендуют на роль альтернативы для «традиционной» голосовой связи. Поэтому, чтобы быть «в рынке», сталкерское ПО должно уметь перехватывать данные из мессенджеров. Найденный нами образец, получивший вердикт Monitor.AndroidOS.MonitorMinor.c, – один из представителей ПО для мониторинга, которое может использоваться для сталкинга.

Возможности MonitorMinor

В «чистой» ОС Android коммуникации приложений напрямую между собой исключены песочницей и «сталкер» банально не получит доступ к переписке, например, в WhatsApp. Такая модель доступа называется DAC (Discretionary Access Control). При инсталляции приложения в системе создается новая учетная запись и директория приложения, доступ к которой есть только у этой учетной записи. К примеру, тот же WhatsApp хранит историю переписок пользователя в файле /data/data/com.whatsapp/databases/msgstore.db, доступ к которому есть только у одного пользователя и соответствующего приложения – WhatsApp. Аналогичным образом работают и другие мессенджеры.

Ситуация меняется, как только устанавливается приложение типа SuperUser (утилита SU), предоставляющее root-доступ к системе. Не столь важно, как именно они попадают на устройство – поставляются прямо с завода, устанавливаются владельцем устройства или же их инсталлирует вредоносное ПО. Главное, что с их появлением перестает существовать одна из ключевых систем безопасности системы (на самом деле, перестают существовать все системы безопасности, но нас сейчас интересует именно DAC).

Именно на наличие этой утилиты, скорее всего, и рассчитывают создатели MonitorMinor. С помощью эскалации прав (запуска утилиты SU) их ПО получает полный доступ к данным следующих приложений:

  • LINE: Free Calls & Messages
  • Gmail
  • Zalo — Video Call
  • Instagram
  • Facebook
  • Kik
  • Hangouts
  • Viber
  • Hike News & Content
  • Skype
  • Snapchat
  • JusTalk
  • BOTIM

То есть ко всем самым популярным средствам современных коммуникаций.

Перехват кода разблокировки устройства

Функции MonitorMinor не ограничиваются перехватом данных приложений социальных сетей и мессенджеров: с помощью прав root программа вытягивает из устройства файл /data/system/gesture.key, в котором содержится хэш-сумма пароля или паттерна разблокировки экрана. В результате оператор MonitorMinor может разблокировать устройство, когда оно находится неподалеку или когда у него в следующий раз будет физический доступ к устройству. Такую функцию мы фиксируем впервые за всю историю наблюдения за угрозами для мобильных платформ.

Персистентность

Когда MonitorMinor получает root-доступ, то перемонтирует системный раздел из режима «только чтение» в режим «на запись», затем копирует себя в него, удаляется из пользовательского раздела и снова перемонтирует системный раздел в режим «только чтение». После этой «рокировки» удалить приложение штатными средствами ОС не получится. Разумеется, возможность эскалации привилегий есть не на всех устройствах, и можно предположить, что без «рута» сталкер не будет столь эффективным. Но не в случае с MonitorMinor.

Возможности MonitorMinor без root

Android – это очень дружелюбная операционная система. Особенно дружелюбна она к пользователям с ограниченными возможностями: с помощью API Accessibility Services телефон может зачитывать голосом входящие сообщения и любой другой текст в окнах приложений. Кроме того, с помощью Accessibility Services можно в режиме реального времени получать структуру окна приложения, находящегося в данный момент на экране смартфона: поля ввода, кнопки и их названия и т. п.

Именно этим API воспользовались создатели stalkerware для перехвата событий в приложениях, которые мы озвучили выше. Проще говоря, MonitorMinor и без root способен эффективно работать на всех устройствах, где есть Accessibility Services (а таких устройств большинство).

Переписка в WhatsApp, перехваченная с помощью Accessibility Services

С помощью этого же API в приложении реализована и функция кейлоггера. То есть ареал использования MonitorMinor не ограничивается социальными сетями и мессенджерами: все, что вводит жертва, будет автоматически отослано на серверы MonitorMinor. Также приложение следит за буфером обмена и отправляет своему владельцу его содержимое. Помимо этого, оно позволяет своему владельцу:

  • Управлять устройством с помощью SMS-команд
  • Показывать в режиме реального времени видео с камер устройства
  • Записывать звук с микрофона устройства
  • Показывать историю посещенных веб-страниц в браузере Chrome
  • Показывать статистику использования тех или иных приложений
  • Показывать содержимое внутреннего хранилища устройства
  • Показывать содержимое списка контактов
  • Показывать системный журнал

Фрагмент веб-интерфейса оператора, демонстрирующий возможности MonitorMinor

Распространение

По данным статистки KSN, чаще всего сталкиваются с этим приложением пользователи из Индии: на данный момент на эту страну приходится наибольшая доля установок (14,71%). Кроме того, в теле MonitorMinor «зашит» Gmail-аккаунт с индийским именем, что позволяет сделать предположение о стране происхождения программы. Однако вместе с этим нам удалось найти панели управления на турецком и английском языках.

Вторая страна по «популярности» у MonitorMinor – Мексика (11,76%), а на третьем, четвертом и пятом, с разницей в тысячные доли процента, расположились Германия, Саудовская Аравия и Великобритания (5,88%).

Заключение

По многим параметрам MonitorMinor превосходит другие схожие приложения. В нем реализованы все возможные функции для эффективного наблюдения за жертвой, некоторые из которых являются уникальными, а заметить его присутствие на устройстве практически невозможно. Если на устройстве есть root-доступ, это открывает злоумышленнику дополнительные возможности. Например, оператор может ретроспективно просмотреть, чем занималась жертва в социальных сетях.

Стоит также отметить, что приложение Monitor.AndroidOS.MonitorMinor.c обфусцировано, а это говорит о том, что создатели могут знать о существовании средств защиты от сталкерского ПО и пытаются им противодействовать.

Отметим, что в лицензионном соглашении, опубликованном на сайте, где можно сказать MonitorMinor, недвусмысленно заявлено, что приложение не разрешается использовать для скрытого слежения за людьми без их письменного согласия. Более того, авторы соглашения предупреждают, что в некоторых странах такие действия могут быть поводом для расследования со стороны правоохранительных органов. Поэтому, формально, трудно отрицать тот факт, что разработчики уведомили пользователей о потенциальных последствиях незаконного использования приложения.

С другой стороны, мы не видим, как предупреждение в лицензионном соглашении может помочь потенциальным жертвам сталкеров, которые решат использовать приложение. Оно может присутствовать на устройстве без ведома его владельца и скрытно наблюдать за практически всеми коммуникациями цели. Учитывая широкие возможности приложения, мы решили привлечь внимание к нему и информировать тех, кто защищает людей от сталкерского ПО, о потенциальной угрозе. Это не просто еще одно приложения для обеспокоенных родителей.

На рынке есть множество средств «родительского контроля», которые выполняют свою работу, не предоставляя «родителю» набор мощных инструментов для вмешательства в личную жизнь «ребенка». Мы не собираемся учить других разработчиков, как им делать приложения «родительского контроля», однако, наша работа заключается в том числе в предупреждении наших клиентов и других лиц о том, что может быть использовано для вмешательства в их личную жизнь.

IOCs

ECAC763FEFF38144E2834C43DE813216

MonitorMinor: злобный сталкер?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике