Pages

11 paź 2015

KEMOGE - nowe złośliwe oprogramowanie dla Androida atakuje także polskich użytkowników

Końcem września tego roku można było przeczytać o złośliwym oprogramowaniu na system Android, które zostało odkryte przez zespół specjalistów z FireEye Labs i które umożliwiało przejęcie kontroli nad zainfekowanymi urządzeniami. Dokładnie cztery dni temu, tj. 7 października 2015 roku badacze z FireEye opublikowali informację o kolejnym, bardziej wyrafinowanym oprogramowaniu typu malware atakującym użytkowników systemu Android. Według specjalistów jest ono jeszcze bardziej niebezpieczne i rozprzestrzenia się w bardzo szybkim tempie. Pozwala na całkowite przejęcie kontroli nad zainfekowanymi urządzeniami, a atak prawdopodobnie pochodzi z Chin. Badacze bezpieczeństwa z FireEye nazwali złośliwe oprogramowanie KEMOGE, ze względu na serwer zdalnej kontroli (C&C) wywodzący się z domeny: aps.kemoge.net.

Mapa infekcji złośliwym oprogramowaniem KEMOGE
(źródło: www.fireeye.com)
Jak przestawiono na rysunku powyżej, badaczom udało się zidentyfikować ofiary malware KEMOGE z ponad 20 krajów, w tym użytkowników związanych z rządem i przemysłem, co jeszcze bardziej podkreśla skalę kampanii tego złośliwego oprogramowania. Złośliwe oprogramowanie KEMOGE jest ciężkie do wykrycia i opracowane tak, aby maskować się za popularnymi aplikacjami, a oto niektóre z nich:


Niektóre aplikacje, zawierające malware KEMOGE
(źródło: www.fireeye.com)
KEMOGE rozprzestrzenia się poprzez złośliwe odnośniki i korzystając z serwisów z aplikacjami na Androida firm trzecich. Podczas pierwszego uruchomienia kolekcjonuje informacje o urządzeniu a następnie wymusza instalację 8 exploitów, które umożliwiają atakującemu uzyskanie prawa roota:
Cykl życia złośliwego oprogramowania KEMOGE
(źródło: www.fireeye.com)
Przesyła zdobyte informacje do serwera z reklamami, a ofiara malware okresowo otrzymuje reklamy na ekranie, niezależnie od aktywności (reklamy pojawiają się nawet, gdy użytkownik pozostaje na ekranie domowym systemu Android). Docelowo umożliwia zdalną kontrolę, m.in. poprzez instalowanie, uruchamianie oraz odinstalowanie jakiejkolwiek aplikacji.

Fragment kodu KEMOGE z pliku AndroidManifest.xml
(źródło: www.fireeye.com)


Początkowo KEMOGE jest tylko irytujące, jednak dość szybko pokazuje swoje złe oblicze. Jak przedstawiono na rysunku powyżej, w kodzie tego złośliwego oprogramowania znajdziemy fragment, który umożliwia uruchamiania się malware KEMOGE wtedy, gdy użytkownik odblokuje swój telefon lub zmieni ustawienia połączeń sieciowych. Za pomocą zapisów w AndroidManifest.xml wywołuje polecenie MyService, które po uruchomieniu przybiera postać: bg.mp4, info.mp4 lub hello.mp4. Pod rozszerzeniem mp4 w rzeczywistości ukrywany jest plik ZIP z wieloma poziomami szyfrowania, KEMOGE wykorzystuje do tego algorytm DES, przy udziale dwóch różnych kluczy kryptograficznych:
 
Proces deszyfrowania pliku ZIP
(źródło: www.fireeye.com)

Po przejściu całej ścieżki ukazanej na rysunku powyżej, następuje rozpakowanie archiwum ZIP, zawierającego pliki:
  • AndroidRTService.apk
  • root.sh
  • busybox
  • su
  • .root
  • root_001, root_002, ..., root_008 - (osiem exploitów nadających prawa roota)
Jak widać na liście powyżej, szkodnik który jest tematem tego artykułu niesie ze sobą aż osiem exploitów, umożliwiających uzyskanie prawa roota na wielu bardzo urządzeniach dostępnych obecnie na rynku. Exploity te korzystają z metod znanych pod nazwą: mempodroid, motochopper, perf_swevent exploit, sock_diag exploit, oraz put_user exploit. Według badaczy bezpieczeństwa, niektóre z nich wydają się być skompilowane z projektów typu open source, ale niektóre pochodzą także z komercyjnego rozwiązania o nazwie "Root Dashi" (znanego także jako "Root Master").

Po uzyskaniu praw roota, KEMOGE wykonuje plik root.sh  a następnie wszczepia się w AndroidRTService.apk do partycji systemowej jako Launcher0928.apk, a nazwa pliku imituje usługę systemową. Nazwa pakietu tej aplikacji wygląda jak autentyczna usługa, np:
com.facebook.qdservice.rp.provider lub com.android.provider.setting

Jak już wcześniej wspomnieliśmy, malware to korzysta z serwera C&C o nazwie aps.kemoge.net, adres IP: 216.121.96.21, natomiast sama domena kemoge.net występuje pod adresem IP: 38.97.225.184 Aby uniknąć wykrycia, nie komunikuje się z serwerem C&C w trybie ciągłym. Zamiast tego, pobiera z serwera C&C polecenia tylko podczas pierwszego uruchomienia oraz po 24 godzinach od otrzymania ostatniego polecenia z serwera. Podczas każdej komunikacji, w pierwszej kolejności wysyła informacje o numerze IMEI, IMSI, zainstalowanej pamięci oraz o zainstalowanych aplikacjach na zainfekowanym przez siebie telefonie. Badacze bezpieczeństwa z FireEye przedstawili fragment kodu, który wysyła te informacje oraz pyta o kolejne polecenia, a wygląda on następująco:

Fragment kodu wysyłającego informacje do serwera C&C
 (źródło: www.fireeye.com)

Fragment kodu wysyłającego kolejne informacje do serwera C&C
oraz pytającego o kolejne polecenia

(źródło: www.fireeye.com)
Serwer C&C malware KEMOGE potrafi wydać komendę o:
  • odinstalowaniu wyznaczonej aplikacji;
  • uruchomieniu wyznaczonej aplikacji;
  • pobraniu i zainstalowaniu aplikacji z podanego adresu.

Aplikacja z Google Play zawierająca malware KEMOGE
 (źródło: www.fireeye.com)
Powyżej przedstawiliśmy przykład aplikacji zawierającej złośliwe oprogramowanie KEMOGE. Jak widać, ma ona sporo pobrań (100 do 500 tysięcy) i została wydana przez dewelopera Zhang Long. Na podstawie dewelopera oraz bibliotek zintegrowanych w aplikacji: cn.wap3, com.renren, com.tencent etc., można wnioskować, iż malware pochodzi z Chińskiej Republiki Ludowej

Zalecamy szczególną ostrożność podczas pobierania aplikacji ze sklepu Google Play, nieklikanie w podejrzane linki, SMSy oraz wiadomości, a także nieinstalowanie aplikacji spoza oficjalnego sklepu Google Play.


Nazwa pakietu Nazwa aplikacji MD5
cc.taosha.beautify.easylocker Easy Locker 2701de69ea6b57bbc827830660711ea2
cc.taosha.toolbox.shareit ShareIt 40b1dcbe5eca2d4cf3621059656aabb5
com.cg.sexposition Sex Cademy abaf6cb1972d55702b559725983e134a
com.cg.wifienhancer WiFi Enhancer 0c67d0919e574a6876c73118260368ee
com.change.unlock.zhiwenjiesuo Fingerprint unlock 1be29a6622543f6f5063eda1d83a4e49
com.funme.assistivetouch Assistive Touch 7cd86d83d916dbd9b04d0e7e4f9ff6e8
com.funme.sexfree Calculator bf6dc2f78baed212f6aa4268da086e09
com.jrhw.pinkygirls PinkyGirls 6fc29ab75d87a5b1e0dd792c5c68d738
com.kayaya.tao.tomcat Talking Tom 3 b36a751d72e2bdea80e7ff72b6fb3a41
com.kiss.browser Kiss Browser cec85188308644273332d00d633ab875
com.leo.appmaster Privacy Lock f1a16304e427b7f8657de8c3dfb1d33f
com.light.browser Light Browser 162cb09e2eebd595eae2617cd3af1d0d
com.magic.gmobiepay.clear Magic Treasure aa31e77775f5ce3e85ebf3bdb09f590e
com.space.funhgames.september 2048kg efb917cb0cf09fc38b98500af61d30dc
com.star.android.smartTouch Smart Touch db563053762250a5cb4d0c10e0e3dbb0
Niektóre z fałszywych aplikacji, zawierające malware KEMOGE
(źródło: www.fireeye.com)


Lista podpisanych certyfikatów KEMOGE:

Owner: CN=tao sha, OU=IT, O=taosha.cc, L=Shenzhen, ST=Guangdong, C=86
SHA1: EF:A5:C2:18:9C:21:4B:A8:21:90:4C:10:6A:B5:77:53:0F:22:00:62

Owner: CN=hexy_root_009, OU=hexy_root_009, O=hexy_root_009, L=hexy_root_009, 
ST=hexy_root_009, C=hexy_root_009
SHA1: E3:BD:4B:4F:38:7C:1A:A8:C0:4C:98:B2:B2:B1:B0:CF:33:5E:71:BC

Owner: CN=keke_root_025, OU=keke_root_025, O=keke_root_025, L=keke_root_025, 
ST=keke_root_025, C=keke_root_025
SHA1: 41:F4:9B:14:E9:8A:7C:EF:5E:BF:D9:9C:8F:58:43:48:45:BE:12:B2

Owner: CN=kiss, OU=kiss, O=kiss, L=hangzhou, 
ST=zhejiang, C=86
SHA1: 72:62:C5:38:78:81:B1:10:51:B3:D3:B3:63:B5:AC:F9:B9:8F:6E:B9

Owner: CN=google, OU=google, O=android, C=CN
SHA1: E9:20:9A:53:9B:C7:41:22:1D:53:37:FE:FA:9E:26:59:6C:3D:08:96

Owner: CN=wilson, OU=land, O=land, L=hangzhou, 
ST=zhejiang, C=86
SHA1: E5:58:C9:BA:6A:A3:D1:AC:2A:12:5B:94:C6:F6:02:2F:EE:0D:19:39

Owner: CN=hzckgames, OU=hzckgames, O=hzckgames, L=hangzhou, ST=zhejiang, C=86
SHA1: 49:D2:51:A6:67:CC:9D:C2:9D:AB:FA:E8:D3:85:44:FF:B0:59:BC:90

Owner: CN=hong, OU=fjwy, O=fjwy, L=zhejiang, 
ST=zhejiang, C=CN
SHA1: 89:81:E2:B0:30:A9:A4:60:5D:B2:4B:E4:31:59:A3:01:73:1C:C6:53

Z chwilą pisania tego artykułu, serwer C&C malware KEMOGE nadal działa.


Więcej informacji w języku angielskim znajdziecie tutaj:
https://www.fireeye.com/blog/threat-research/2015/10/kemoge_another_mobi.html

Źródło:
https://www.fireeye.com

4 komentarze:

  1. Człowiek ma to do siebie, że potrafi zrobić świetne oprogramowanie, niestety też jest w stanie nim zaszkodzić. Ile razy już słyszało się, że czyjś komputer został zaatakowany, zostały wykradzione dane lub hasła. Szkoda, że ktoś wykorzystuje swoje umiejętności w taki negatywny sposób

    OdpowiedzUsuń
  2. Fajny artykuł. Pozdrawiam serdecznie.

    OdpowiedzUsuń
  3. Bardzo fajny artykuł. Jestem pod wrażeniem.

    OdpowiedzUsuń