Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Trojan dla Androida wykryty w ataku ukierunkowanym

Kurt Baumgartner
Kaspersky Lab Expert
Denis Maslennikow
Kaspersky Lab Expert
Dodany 24 kwietnia 2013, 15:38 CEST
Tagi:

W przeszłości obserwowaliśmy już ataki ukierunkowane na tybetańskich i ujgurskich aktywistów użytkujących platformy Windows i OS X. Udokumentowaliśmy kilka ciekawych ataków w artykułach (Prezent na urodziny Dalajlamy i Narastające cyberataki przeciwko ujgurskim użytkownikom systemu OS X firmy Apple). Ataki te wykorzystywały archiwa ZIP oraz dokumenty DOC, XLS i PDF z zaszytymi exploitami.

Kilka dni temu zhakowane zostało konto e-mail tybetańskiego aktywisty wysokiego szczebla, a następnie wykorzystane do rozpropagowania ataków ukierunkowanych na innych aktywistów i obrońców praw człowieka. Najbardziej interesującą rzeczą w tej sytuacji jest fakt, że wiadomości e-mail rozsyłane w ataku posiadały załącznik APK – złośliwy program dla systemu Android.

Atak

Dnia 24 marca 2013 r. konto pocztowe tybetańskiego aktywisty wysokiego szczebla zostało zhakowane i wykorzystane do rozsyłania spear-phishingowych wiadomości e-mail do użytkowników z listy kontaktów. Oto jak wyglądały spear-phishingowe e-maile:

Wiele grup aktywistów niedawno zorganizowało Konferencję Praw Człowieka w Genewie. Zauważyliśmy wzrost liczby ataków, które wykorzystywały to zdarzenie jako przynętę. Oto kolejny przykład takiego ataku, uderzającego w użytkowników systemu Windows:

Wróćmy jednak do paczki instalacyjnej aplikacji na Androida (APK), która była dołączana do fałszywych wiadomości e-mail: „WUC's Conference.apk”. Jest to złośliwa aplikacja APK o rozmiarze 334 326 bajtów i sumie MD5 o wartości: 0b8806b38b52bebfe39ff585639e2ea2. Produkty Kaspersky Lab wykrywają tę aplikację jako zagrożenie „Backdoor.AndroidOS.Chuli.a”. Po zainstalowaniu, na pulpicie urządzenia pojawia się aplikacja o nazwie „Conference”:

Jeśli ofiara uruchomi tę aplikację, zobaczy tekst „informujący” o zbliżającym się wydarzeniu:

Pełny tekst (zachowaliśmy oryginalną angielskojęzyczną pisownię) brzmi następująco (zwróćmy uwagę na literówkę w słowie „Word”, które powinno mieć formę „World”):

„On behalf of all at the Word Uyghur Congress (WUC), the Unrepresented Nations and Peoples Organization (UNPO) and the Society for Threatened Peoples (STP), Human Rights in China: Implications for East Turkestan, Tibet and Southern Mongolia

In what was an unprecedented coming-together of leading Uyghur, Mongolian, Tibetan and Chinese activists, as well as other leading international experts, we were greatly humbled by the great enthusiasm, contribution and desire from all in attendance to make this occasion something meaningful, the outcome of which produced some concrete, action-orientated solutions to our shared grievances. We are especially delighted about the platform and programme of work established in the declaration of the conference, upon which we sincerely hope will be built a strong and resolute working relationship on our shared goals for the future. With this in mind,we thoroughly look forward to working with you on these matters.

Dolkun lsa
Chairman of the Executive Committee
Word Uyghur Congress”

W momencie, gdy ofiara czyta ten fałszywy komunikat, złośliwe oprogramowanie ukradkiem raportuje serwerowi centrum kontroli (C&C) pomyślne przeprowadzenie infekcji. Następnie zaczyna zbierać informacje przechowywane w urządzeniu. Kradzione dane obejmują:

  • Kontakty (zapisane zarówno w pamięci urządzenia, jak i na karcie SIM);
  • Rejestr połączeń;
  • Wiadomości SMS;
  • Lokalizację geograficzną;
  • Dane telefonu (numer telefonu, wersja systemu operacyjnego, model telefonu, wersja SDK).

Należy wyraźnie zaznaczyć, że dane nie są automatycznie przesyłane do serwera C&C. Trojan oczekuje na przychodzące wiadomości SMS („alarmReceiver.class”) i sprawdza, czy te wiadomości zawierają jedno z następujących poleceń: „sms”, „contact”, „location”, „other”. Jeżeli któreś z tych poleceń zostanie odebrane, szkodnik zaszyfruje skradzione dane z wykorzystaniem algorytmu Base64 i prześle je do serwera C&C. Adres URL serwera C&C:

hxxp://64.78.161.133/*victims's_cell_phone_number*/process.php

Dodatkowo, złośliwe oprogramowanie zgłasza się do innego skryptu: „hxxp://64.78.161.33/android.php”. Najpierw pobiera zmienną „nativenumber” z wartości „telmark” w „AndroidManifest.xml”. Ta zmienna jest zakodowana na sztywno, a jej wartość to: „phone”. Następnie, szkodnik dodaje wynik metody publicznej „localDate.getTime()”, co równa się pobraniu aktualnej daty. Przykładowy ciąg znaków, który zostanie przesłany do C&C, może mieć postać: „phone 26.03.2013”. Interesujące jest to, że napastnicy użyli biblioteki Javy – Base64 – opracowanej przez grupę Sauron Software. To oprogramowanie jest darmowe i dystrybuowane na prawach licencji LGPL. Ponadto, rozkazy dostarczane szkodnikowi są parsowane za pomocą funkcji o nazwie „chuli()” przed wysłaniem skradzionych danych do serwera C&C w zgłoszeniu POST. Wygląda na to, że napastnicy są zaznajomieni z kulturą języka ofiar i ich skłonnościami do górskich wędrówek – znaczenie słowa „chuli” to „szczyt”:

Parametry serwera centrum kontroli parametry można łatwo poznać po dekompilacji kodu źródłowego:

Kod interakcji z serwerem C&C

W całym ciele kodu atakujący rozmieścili rozkazy definiujące wszystkie ważne działania. Są to różne komunikaty w języku chińskim, zamieszczone prawdopodobnie w celach diagnostycznych, co wskazuje, że aktualne złośliwe oprogramowanie może być we wczesnej fazie prototypowej. Niektóre działania obejmują (tłumaczenia w surowej postaci):

Serwer centrum kontroli

Serwer C&C znajduje się pod adresem IP: 64.78.161.133. Adres IP jest zlokalizowany w Los Angeles (Stany Zjednoczone) i należy do firmy hostingowej „Emagine Concept Inc”.

Co ciekawe – istnieje domena, która kieruje do tej lokalizacji: „DlmDocumentsExchange.com”. Domena została zarejestrowania 8 marca 2013 r.:

Rejestracja usług świadczonych przez: SHANGHAI MEICHENG TECHNOLOGY INFORMATION DEVELOPMENT CO., LTD.
Nazwa domeny: DLMDOCUMENTSEXCHANGE.COM
Data rejestracji: 08-Mar-2013
Data wygaśnięcia: 08-Mar-2014
Status: ZABLOKOWANA

Dane rejestracyjne domeny wskazują na następującego właściciela:

Dane kontaktowe rejestrującego: 
peng jia 
peng jia (bdoufwke123010@gmail.com) 
beijingshiahiidienquc.d 
beijingshi 
beijing,100000 
CN 
Tel. +86.01078456689 
Fax. +86.01078456689

Serwer C&C hostuje stronę indeksową, która również dystrybuuje plik APK:

Aplikacja APK o nazwie „Document.apk” posiada rozmiar 333 583 bajtów i sumę MD5 o wartości: c4c4077e9449147d754afd972e247efc. Ma taką samą funkcjonalność, jak plik APK opisany powyżej, ale zawiera inny tekst. Nowy tekst (w języku chińskim, dotyczący relacji chińsko – japońskich i sporu o wyspy Senkaku / Diaoyudao / Diaoyutai) wyświetlany ofiarom:

Oto jak wygląda strona indeksowania centrum kontroli po otwarciu w przeglądarce internetowej:

Tekst na górze strony to „Tytuł Tytuł Tytuł” w języku chińskim, natomiast inne ciągi wydają się być losowymi znakami wpisywanymi z klawiatury. Interesujące jest to, że serwer centrum kontroli posiada publicznie dostępny interfejs do „zajmowania się” ofiarami:

Surowe tłumaczenia niektórych komend:

Serwer C&C pracuje pod kontrolą systemu Windows Server 2003 i został przystosowany do pracy w języku chińskim:

Ten fakt, wraz z dziennikami operacji, jest silnym dowodem na to, że atakujący biegle posługują się językiem chińskim.

Wnioski

Każdego dnia mają miejsce setki, jeśli nie tysiące, ataków ukierunkowanych na podmioty wspierające sprawę ujgurską i tybetańską. Zdecydowana większość tych ataków wymierzona jest w komputery z systemem Windows i używa dokumentów aplikacji Word, które wykorzystują znane podatności, jak np. CVE-2012-0158CVE-2010-3333 i CVE-2009-3129.

W tym przypadku atakujący zhakowali konto prominentnego działacza tybetańskiego i wykorzystali je do ataku na aktywistów ujgurskich. Mamy do czynienia, być może, z ciekawą tendencją, ideą której jest podważenie relacji zaufania między dwiema zaangażowanymi społecznościami. Ta technika przypomina nam kombinację starych zasad wojennych: „dziel i rządź” i „sztuki podstępu”.

Dotychczas nie zetknęliśmy się z atakiem ukierunkowanym wykorzystującym urządzenia mobilne, chociaż obserwowaliśmy sygnały świadczące o tym, że cyberprzestępcy od pewnego czasu eksperymentowali na tym polu. Obecny atak wykorzystał kompromitację tybetańskiego działacza wysokiego szczebla. Jest to prawdopodobnie pierwszy atak z nowej fali ataków ukierunkowanych na użytkowników systemu Android. Dotychczas, atakujący podczas infekowania ofiar całkowicie polegali na metodach inżynierii społecznej. Prognozujemy, że w niedługim czasie ataki te zaczną wykorzystywać luki zero-day oraz exploity lub kombinację obu technik.

W chwili obecnej najlepszą formą ochrony jest unikanie jakichkolwiek załączników APK dostarczanych do urządzeń mobilnych pocztą elektroniczną. Szkodliwe oprogramowanie wykorzystywane w omawianym ataku wykrywane jest przez produkty Kaspersky Lab jako: „Backdoor.AndroidOS.Chuli.a”. Sumy MD5 złośliwych plików APK: c4c4077e9449147d754afd972e247efc („Document.apk”),0b8806b38b52bebfe39ff585639e2ea2 („WUC's Conference.apk”).