Описание вредоносного ПО

Vidro: насколько глубока кроличья нора?

Появление нового семейства вредоносных программ под Android уже никого не удивляет. Особенно когда речь идет об SMS-троянцах, являющихся наиболее популярным и самым старым типом угроз, созданным для отъема денег у пользователей. Новое семейство таких троянцев, получившее название Vidro, появилось несколько дней назад, но нам уже удалось получить немалое количество APK-файлов с похожим функционалом. На данный момент все образцы, найденные нами, нацелены на пользователей из Польши.

Распространение

Trojan-SMS.AndroidOS.Vidro распространяется через порносайты. Механизм очень похож на тот, который мы наблюдали при распространении самой первой вредоносной программы под Android (Trojan-SMS.AndroidOS.FakePlayer). Если пользователь попадает на порносайт с помощью десктопного браузера, то он увидит нечто подобное:

Но если потенциальная жертва каким-либо образом попадет на этот же самый сайт, используя Android-устройство, то порносайт будет «оптимизирован» для экрана смартфона:

После нажатия на ссылку ‘Watch Now’ пользователь будет перенаправлен на сайт с именем ‘Vid4Droid’ (vid4droid.com), где ему предложат скачать приложение ‘The new Sexvideo App’:

Нажатие на кнопку ‘Install’ перенаправит пользователя на страницу, с которой начнется автоматическая загрузка приложения, и которая содержит инструкцию «как установить суперприложение» с напоминанием о необходимости разрешить установку программ из неизвестных источников:

Описание Vidro

После установки Vidro в меню появляется следующая иконка:

Если пользователь запускает вредоносную программу, то сначала он увидит диалоговое окно с предложением согласиться с условиями использования «программы».

Забавно, что в самом приложении нет ничего похожего на EULA или условия использования. После нажатия кнопки ‘Yes’ зловред отправит SMS на короткий платный номер 72908 (польский) с текстом PAY {уникальная последовательность букв и чисел}. Каждое сообщение стоит 2 злотых (~20 рублей). Сообщение отправляется каждые 24 часа. Все данные, необходимые для отправки сообщений, хранятся в конфигурационном файле ‘settings.json’.

Помимо этого, Троянец Vidro способен прятать входящие SMS-сообщения с определенных номеров. Такой функционал уже наблюдался в зловредах Foncy и Mania.

Кроме отправки дорогих сообщений Vidro также может:

  • обновлять конфигурационный файл (который может содержать новый короткий номер и текст сообщения) и обновлять самого себя. Для соединения с удаленным сервером зловред использует собственную строку User-Agent: ‘Mozilla/5.0 (Linux; U; {app_id}; {android_version}; de-ch; Vid4Droid) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30’.
  • загружать информацию о себе и зараженном устройстве на удаленный сервер.

Контент-провайдер и партнерская программа

Если погуглить ‘72908’ (короткий номер из троянца), то можно найти ссылку на польский форум, где есть жалобы на этот номер.

Перевод:

‘Как удалить ‘carmunity’ от номера 72908? Помогите’

‘Возможно, это какой-то вирус, эта SMS’ка отправляется с телефона, лучше отключить это у вашего провайдера, и входящие, и исходящие’

‘Я хочу отключить’

Давайте повнимательней посмотрим на вредоносный домен vid4droid.com. Согласно Robtex, этот домен контролируется двумя name-серверами по адресу carmunity.de; а mail-сервер vid4droid.com находится на tecmedia.eu.

Есть несколько хостов (например, sex-goes-mobile.biz, sexgoesmobile.biz, sexgoesmobil.com и похожие), у которых name-сервера и mail-сервер такие же, как и у vid4droid.com. А если зайти на один из этих хостов, то произойдет перенаправление на sexgoesmobile.com.

Carmunity

Carmunity — это немецкий контент-провайдер, у которого ‘портфолио содержит набор креативных и технических решений, позволяющих компаниям создавать и использовать их собственные порталы в мобильном интернете’.

Главная страница сайта Carmunity

Контактная информация содержит физический адрес компании. Согласно ей, Carmunity расположена в Бремене по адресу Mary-Astell-Str. 2. Если погуглить этот адрес, то можно обнаружить другую немецкую компанию с именем Displayboy с точно таким же физическим адресом. Что же известно об этой организации? Вот, например, несколько цитат с их веб-сайта displayboy.com (сайт существует только в английском варианте):

‘Добро пожаловать на сайт Displayboy — ведущего провайдера партнерских программ со ‘взрослой’ тематикой в сегменте мобильного Интернета’

‘Сейчас около 5-10% пользователей сайтов «для взрослых» заходят на них с помощью мобильных устройств. С Displayboy вы сможете конвертировать существующий мобильный трафик в прибыль. Это легко, просто и надежно’.

Есть ли что-нибудь общее у Carmunity и Displayboy? Думаю, да  Как минимум, обе компании специализируются на монетизации мобильного трафика.

SexGoesMobile

Как говорилось ранее, некоторые хосты используют те же name- и mail-серверы, что и vid4droid.com. И если попытаться зайти на один из них, то произойдет перенаправление на sexgoesmobile.com.

Да, это партнерская программа для монетизации ‘взрослого’ мобильного трафика. А внутри есть несколько любопытных вещей. Давайте посмотрим, что там происходит.

Многие мобильные партнерские программы (российские как минимум) предоставляют полный доступ к так называемым ‘промо-средствам’ всем участникам. Партнерка SexGoesMobile не является исключением. Например, партнер может создать платный мобильный сайт, используя один из существующих шаблонов.

У каждого шаблона есть собственное доменное имя. И каждый партнер, который принимает участие в SexGoesMobile, имеет собственный ID. После выбора шаблона у этого партнера есть возможность выбора целевой аудитории:

И, наконец, каждый партнер в итоге может сгенерировать уникальный URL со своим ID:

Если потенциальная жертва кликнет на эту уникальную ссылку, то она будет перенаправлена на сайт exgftube.mobi, содержащий порнокартинки. После нажатия на одну из этих картинок-ссылок пользователь будет перенаправлен на сайт vid4droid.com, где ему будет предложено загрузить файл vid4droid.apk (Trojan-SMS.AndroidOS.Vidro). Помните формат SMS-сообщения, которое отправляет зловред? PAY {уникальная последовательность букв и чисел}. Эта уникальная последовательность букв и чисел будет сгенерирована на удаленном сервере на основе referrer’а (уникального URL’а с ID партнера). Другими словами, у каждого партнера есть «собственный» SMS-троянец с уникальным текстом SMS-сообщения.

Заключение

Индустрия мобильных вредоносных программ и сервисов, связанных с ними, продолжает эволюционировать. Пару лет назад партнерские программы в основном были российского происхождения. Теперь мы видим, что эти партнерки появляются и в других странах. К несчастью, такие партнерки уже стали достаточно эффективным и простым способом распространения вредоносных программ для мобильных устройств. А «миграция» партнерских программ приведет к новым заражениям и большому финансовому ущербу не только в России, но и в других странах.

Vidro: насколько глубока кроличья нора?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике