Końcem września tego roku można było przeczytać o złośliwym oprogramowaniu na system Android, które zostało odkryte przez zespół specjalistów z FireEye Labs i które umożliwiało przejęcie kontroli nad zainfekowanymi urządzeniami. Dokładnie cztery dni temu, tj. 7 października 2015 roku badacze z FireEye opublikowali informację o kolejnym, bardziej wyrafinowanym oprogramowaniu typu malware atakującym użytkowników systemu Android. Według specjalistów jest ono jeszcze bardziej niebezpieczne i rozprzestrzenia się w bardzo szybkim tempie. Pozwala na całkowite przejęcie kontroli nad zainfekowanymi urządzeniami, a atak prawdopodobnie pochodzi z Chin. Badacze bezpieczeństwa z FireEye nazwali złośliwe oprogramowanie KEMOGE, ze względu na serwer zdalnej kontroli (C&C) wywodzący się z domeny: aps.kemoge.net.
 |
| Mapa infekcji złośliwym oprogramowaniem KEMOGE (źródło: www.fireeye.com) |
Jak przestawiono na rysunku powyżej, badaczom udało się zidentyfikować ofiary malware KEMOGE z ponad 20 krajów, w tym użytkowników związanych z rządem i przemysłem, co jeszcze bardziej podkreśla skalę kampanii tego złośliwego oprogramowania. Złośliwe oprogramowanie KEMOGE jest ciężkie do wykrycia i opracowane tak, aby maskować się za popularnymi aplikacjami, a oto niektóre z nich:
KEMOGE rozprzestrzenia się poprzez złośliwe odnośniki i korzystając z serwisów z aplikacjami na Androida firm trzecich. Podczas pierwszego uruchomienia kolekcjonuje informacje o urządzeniu a następnie wymusza instalację 8 exploitów, które umożliwiają atakującemu uzyskanie prawa roota:
Przesyła zdobyte informacje do serwera z reklamami, a ofiara malware okresowo otrzymuje reklamy na ekranie, niezależnie od aktywności (reklamy pojawiają się nawet, gdy użytkownik pozostaje na ekranie domowym systemu Android). Docelowo umożliwia zdalną kontrolę, m.in. poprzez instalowanie, uruchamianie oraz odinstalowanie jakiejkolwiek aplikacji.
Początkowo KEMOGE jest tylko irytujące, jednak dość szybko pokazuje swoje złe oblicze. Jak przedstawiono na rysunku powyżej, w kodzie tego złośliwego oprogramowania znajdziemy fragment, który umożliwia uruchamiania się malware KEMOGE wtedy, gdy użytkownik odblokuje swój telefon lub zmieni ustawienia połączeń sieciowych. Za pomocą zapisów w AndroidManifest.xml wywołuje polecenie MyService, które po uruchomieniu przybiera postać: bg.mp4, info.mp4 lub hello.mp4. Pod rozszerzeniem mp4 w rzeczywistości ukrywany jest plik ZIP z wieloma poziomami szyfrowania, KEMOGE wykorzystuje do tego algorytm DES, przy udziale dwóch różnych kluczy kryptograficznych:
Po przejściu całej ścieżki ukazanej na rysunku powyżej, następuje rozpakowanie archiwum ZIP, zawierającego pliki:
Po uzyskaniu praw roota, KEMOGE wykonuje plik root.sh a następnie wszczepia się w AndroidRTService.apk do partycji systemowej jako Launcher0928.apk, a nazwa pliku imituje usługę systemową. Nazwa pakietu tej aplikacji wygląda jak autentyczna usługa, np:
com.facebook.qdservice.rp.provider lub com.android.provider.setting.
Jak już wcześniej wspomnieliśmy, malware to korzysta z serwera C&C o nazwie aps.kemoge.net, adres IP: 216.121.96.21, natomiast sama domena kemoge.net występuje pod adresem IP: 38.97.225.184. Aby uniknąć wykrycia, nie komunikuje się z serwerem C&C w trybie ciągłym. Zamiast tego, pobiera z serwera C&C polecenia tylko podczas pierwszego uruchomienia oraz po 24 godzinach od otrzymania ostatniego polecenia z serwera. Podczas każdej komunikacji, w pierwszej kolejności wysyła informacje o numerze IMEI, IMSI, zainstalowanej pamięci oraz o zainstalowanych aplikacjach na zainfekowanym przez siebie telefonie. Badacze bezpieczeństwa z FireEye przedstawili fragment kodu, który wysyła te informacje oraz pyta o kolejne polecenia, a wygląda on następująco:
Serwer C&C malware KEMOGE potrafi wydać komendę o:
Lista podpisanych certyfikatów KEMOGE:
Z chwilą pisania tego artykułu, serwer C&C malware KEMOGE nadal działa.
Więcej informacji w języku angielskim znajdziecie tutaj:
https://www.fireeye.com/blog/threat-research/2015/10/kemoge_another_mobi.html
Źródło:
https://www.fireeye.com
 |
| Niektóre aplikacje, zawierające malware KEMOGE (źródło: www.fireeye.com) |
 |
| Cykl życia złośliwego oprogramowania KEMOGE (źródło: www.fireeye.com) |
 |
| Fragment kodu KEMOGE z pliku AndroidManifest.xml (źródło: www.fireeye.com) |
Początkowo KEMOGE jest tylko irytujące, jednak dość szybko pokazuje swoje złe oblicze. Jak przedstawiono na rysunku powyżej, w kodzie tego złośliwego oprogramowania znajdziemy fragment, który umożliwia uruchamiania się malware KEMOGE wtedy, gdy użytkownik odblokuje swój telefon lub zmieni ustawienia połączeń sieciowych. Za pomocą zapisów w AndroidManifest.xml wywołuje polecenie MyService, które po uruchomieniu przybiera postać: bg.mp4, info.mp4 lub hello.mp4. Pod rozszerzeniem mp4 w rzeczywistości ukrywany jest plik ZIP z wieloma poziomami szyfrowania, KEMOGE wykorzystuje do tego algorytm DES, przy udziale dwóch różnych kluczy kryptograficznych:
 |
| Proces deszyfrowania pliku ZIP (źródło: www.fireeye.com) |
Po przejściu całej ścieżki ukazanej na rysunku powyżej, następuje rozpakowanie archiwum ZIP, zawierającego pliki:
- AndroidRTService.apk
- root.sh
- busybox
- su
- .root
- root_001, root_002, ..., root_008 - (osiem exploitów nadających prawa roota)
Po uzyskaniu praw roota, KEMOGE wykonuje plik root.sh a następnie wszczepia się w AndroidRTService.apk do partycji systemowej jako Launcher0928.apk, a nazwa pliku imituje usługę systemową. Nazwa pakietu tej aplikacji wygląda jak autentyczna usługa, np:
com.facebook.qdservice.rp.provider lub com.android.provider.setting.
Jak już wcześniej wspomnieliśmy, malware to korzysta z serwera C&C o nazwie aps.kemoge.net, adres IP: 216.121.96.21, natomiast sama domena kemoge.net występuje pod adresem IP: 38.97.225.184. Aby uniknąć wykrycia, nie komunikuje się z serwerem C&C w trybie ciągłym. Zamiast tego, pobiera z serwera C&C polecenia tylko podczas pierwszego uruchomienia oraz po 24 godzinach od otrzymania ostatniego polecenia z serwera. Podczas każdej komunikacji, w pierwszej kolejności wysyła informacje o numerze IMEI, IMSI, zainstalowanej pamięci oraz o zainstalowanych aplikacjach na zainfekowanym przez siebie telefonie. Badacze bezpieczeństwa z FireEye przedstawili fragment kodu, który wysyła te informacje oraz pyta o kolejne polecenia, a wygląda on następująco:
 |
| Fragment kodu wysyłającego informacje do serwera C&C (źródło: www.fireeye.com) |
 |
| Fragment kodu wysyłającego kolejne informacje do serwera C&C oraz pytającego o kolejne polecenia (źródło: www.fireeye.com) |
- odinstalowaniu wyznaczonej aplikacji;
- uruchomieniu wyznaczonej aplikacji;
- pobraniu i zainstalowaniu aplikacji z podanego adresu.
 |
| Aplikacja z Google Play zawierająca malware KEMOGE (źródło: www.fireeye.com) |
Powyżej przedstawiliśmy przykład aplikacji zawierającej złośliwe oprogramowanie KEMOGE. Jak widać, ma ona sporo pobrań (100 do 500 tysięcy) i została wydana przez dewelopera Zhang Long. Na podstawie dewelopera oraz bibliotek zintegrowanych w aplikacji: cn.wap3, com.renren, com.tencent etc., można wnioskować, iż malware pochodzi z Chińskiej Republiki Ludowej.
Zalecamy szczególną ostrożność podczas pobierania aplikacji ze sklepu Google Play, nieklikanie w podejrzane linki, SMSy oraz wiadomości, a także nieinstalowanie aplikacji spoza oficjalnego sklepu Google Play.
Zalecamy szczególną ostrożność podczas pobierania aplikacji ze sklepu Google Play, nieklikanie w podejrzane linki, SMSy oraz wiadomości, a także nieinstalowanie aplikacji spoza oficjalnego sklepu Google Play.
| Nazwa pakietu | Nazwa aplikacji | MD5 |
| cc.taosha.beautify.easylocker | Easy Locker | 2701de69ea6b57bbc827830660711ea2 |
| cc.taosha.toolbox.shareit | ShareIt | 40b1dcbe5eca2d4cf3621059656aabb5 |
| com.cg.sexposition | Sex Cademy | abaf6cb1972d55702b559725983e134a |
| com.cg.wifienhancer | WiFi Enhancer | 0c67d0919e574a6876c73118260368ee |
| com.change.unlock.zhiwenjiesuo | Fingerprint unlock | 1be29a6622543f6f5063eda1d83a4e49 |
| com.funme.assistivetouch | Assistive Touch | 7cd86d83d916dbd9b04d0e7e4f9ff6e8 |
| com.funme.sexfree | Calculator | bf6dc2f78baed212f6aa4268da086e09 |
| com.jrhw.pinkygirls | PinkyGirls | 6fc29ab75d87a5b1e0dd792c5c68d738 |
| com.kayaya.tao.tomcat | Talking Tom 3 | b36a751d72e2bdea80e7ff72b6fb3a41 |
| com.kiss.browser | Kiss Browser | cec85188308644273332d00d633ab875 |
| com.leo.appmaster | Privacy Lock | f1a16304e427b7f8657de8c3dfb1d33f |
| com.light.browser | Light Browser | 162cb09e2eebd595eae2617cd3af1d0d |
| com.magic.gmobiepay.clear | Magic Treasure | aa31e77775f5ce3e85ebf3bdb09f590e |
| com.space.funhgames.september | 2048kg | efb917cb0cf09fc38b98500af61d30dc |
| com.star.android.smartTouch | Smart Touch | db563053762250a5cb4d0c10e0e3dbb0 |
Niektóre z fałszywych aplikacji, zawierające malware KEMOGE
(źródło: www.fireeye.com)
(źródło: www.fireeye.com)
Lista podpisanych certyfikatów KEMOGE:
Owner: CN=tao sha, OU=IT, O=taosha.cc, L=Shenzhen, ST=Guangdong,
C=86
SHA1: EF:A5:C2:18:9C:21:4B:A8:21:90:4C:10:6A:B5:77:53:0F:22:00:62
SHA1: EF:A5:C2:18:9C:21:4B:A8:21:90:4C:10:6A:B5:77:53:0F:22:00:62
Owner: CN=hexy_root_009, OU=hexy_root_009, O=hexy_root_009,
L=hexy_root_009,
ST=hexy_root_009, C=hexy_root_009
SHA1: E3:BD:4B:4F:38:7C:1A:A8:C0:4C:98:B2:B2:B1:B0:CF:33:5E:71:BC
SHA1: E3:BD:4B:4F:38:7C:1A:A8:C0:4C:98:B2:B2:B1:B0:CF:33:5E:71:BC
Owner: CN=keke_root_025, OU=keke_root_025, O=keke_root_025,
L=keke_root_025,
ST=keke_root_025, C=keke_root_025
SHA1: 41:F4:9B:14:E9:8A:7C:EF:5E:BF:D9:9C:8F:58:43:48:45:BE:12:B2
SHA1: 41:F4:9B:14:E9:8A:7C:EF:5E:BF:D9:9C:8F:58:43:48:45:BE:12:B2
Owner: CN=kiss, OU=kiss, O=kiss, L=hangzhou,
ST=zhejiang, C=86
SHA1: 72:62:C5:38:78:81:B1:10:51:B3:D3:B3:63:B5:AC:F9:B9:8F:6E:B9
SHA1: 72:62:C5:38:78:81:B1:10:51:B3:D3:B3:63:B5:AC:F9:B9:8F:6E:B9
Owner: CN=google, OU=google, O=android, C=CN
SHA1: E9:20:9A:53:9B:C7:41:22:1D:53:37:FE:FA:9E:26:59:6C:3D:08:96
SHA1: E9:20:9A:53:9B:C7:41:22:1D:53:37:FE:FA:9E:26:59:6C:3D:08:96
Owner: CN=wilson, OU=land, O=land, L=hangzhou,
ST=zhejiang,
C=86
SHA1: E5:58:C9:BA:6A:A3:D1:AC:2A:12:5B:94:C6:F6:02:2F:EE:0D:19:39
SHA1: E5:58:C9:BA:6A:A3:D1:AC:2A:12:5B:94:C6:F6:02:2F:EE:0D:19:39
Owner: CN=hzckgames, OU=hzckgames, O=hzckgames, L=hangzhou,
ST=zhejiang, C=86
SHA1: 49:D2:51:A6:67:CC:9D:C2:9D:AB:FA:E8:D3:85:44:FF:B0:59:BC:90
SHA1: 49:D2:51:A6:67:CC:9D:C2:9D:AB:FA:E8:D3:85:44:FF:B0:59:BC:90
Owner: CN=hong, OU=fjwy, O=fjwy, L=zhejiang,
ST=zhejiang, C=CN
SHA1: 89:81:E2:B0:30:A9:A4:60:5D:B2:4B:E4:31:59:A3:01:73:1C:C6:53
SHA1: 89:81:E2:B0:30:A9:A4:60:5D:B2:4B:E4:31:59:A3:01:73:1C:C6:53
Z chwilą pisania tego artykułu, serwer C&C malware KEMOGE nadal działa.
Więcej informacji w języku angielskim znajdziecie tutaj:
https://www.fireeye.com/blog/threat-research/2015/10/kemoge_another_mobi.html
Źródło:
https://www.fireeye.com
4 komentarze:
Człowiek ma to do siebie, że potrafi zrobić świetne oprogramowanie, niestety też jest w stanie nim zaszkodzić. Ile razy już słyszało się, że czyjś komputer został zaatakowany, zostały wykradzione dane lub hasła. Szkoda, że ktoś wykorzystuje swoje umiejętności w taki negatywny sposób
Fajny artykuł. Pozdrawiam serdecznie.
Bardzo fajny artykuł. Jestem pod wrażeniem.
super
Prześlij komentarz