У Google Play виявлений новий шкідливий, який вразив близько мільйона пристроїв

Поточний тиждень безумовно не можна назвати вдалою для офіційних магазинів додатків. Спочатку китайські хакери наповнили малваре App Store, а тепер складне шкідливий додаток виявили в Google Play.

Виявили малваре, замасковану під гру для тренування мозку BrainTest, фахівці компанії Check Point. Додаток публікувалося в Google Play двічі – перший Саме 24 серпня поточного року (додаток було видалено), а потім 15 вересня. За статистикою магазину, «гру» встановили 100 000-500 000 раз. За даними Check Point, постраждати могли до мільйона користувачів.

Додаток використовувало відразу ряд технік, щоб уникнути виявлення і успішно пройти всі перевірки Google Play. Зокрема, BrainTest вміло визначати, чи не використовується там, де воно запущено, IP або домен відноситься до Google Bouncer. У разі позитивно відповіді, програма не проявляла ніякої шкідливої ​​активності, за рахунок чого і пройшло все перевірки магазину. Крім того, малваре використовувала техніки timebomb, reflection, завантаження динамічного коду та інструмент для обфускаціі коду, створений компанією Baidu (що змусило експертів припустити, що за атакою знову стоять китайські хакери). Сумарно всі це зробило реверс інжиніринг додатки вельми складним. Експерти запевняють, що BrainTest, це вихід на новий рівень витонченості серед мобільних загроз.

Для підвищення привілеїв в системі, додаток використовувало чотири експлоїта. Також зловмисники застосовували два системних додатки, невсипно стежили за тим, щоб BrainTest не видали – вони просто відновлювали віддалені компоненти малварі в системі. У підсумку, позбутися від зарази остаточно можна тільки перепрошити пристрій.

BrainTest складався з двох частин: програми, викачуваного з Google Play (розпаковане – com.mile.brain, запаковане – com.zmhitlte.brain), і бекдора, який встановлював перший додаток. Бекдор містить два системних програми: mcpef.apk і brother.apk, які доглядають один за одним, а також скачують і виконують будь-який код, який їм накажуть.

Додаток з Google Play містило зашифрований java-архів start.ogg. Він породжував розшифровані файли і відсилав запит командному сервера, передаючи зловмисникам дані про конфігурацію пристрою. Відповідь сервера включав в себе посилання на файл jhfrte.jar, який здійснював перевірку на root і скачував експлоїт, щоб отримати root-права. Потім jhfrte.jar скачував з сервера mcpef.apk, яке встановлювалося як системне додаток.

mcpef.apk, в свою чергу, скачували з сервера другий додаток – brother.apk, а також стежило за тим, щоб з системи не віддалялися інші компоненти малварі і, в разі необхідності, їх встановлювали знову. Додатки brother.apk і mcpef.apk мають однакову базову функціональність, тобто обидва можуть відновити шкідливий в системі.

«Якщо Google Bouncer що невиявлений, додаток запускало« годинну бомбу »(time bomb), яка ініціювала передачу даних кожні дві години на 20 секунд. «Годинна бомба» приводила в дію распаковщик. Він розшифровував файли java-архіву start.ogg і динамічно завантажував їх методом «a.a.a.b», – пояснюють фахівці Check Point.

Ссылка на основную публикацию