Πριν από πέντε χρόνια, οι ερευνητές έκαναν μια δυσάρεστη ανακάλυψη: εντόπισαν μια νόμιμη εφαρμογή Android στο Google Play market που έγινε κρυφά κακόβουλη μέσω μιας βιβλιοθήκης που χρησιμοποιούσαν οι προγραμματιστές για να κερδίσουν διαφημιστικά έσοδα.
Με αυτόν τον τρόπο, η εφαρμογή μολύνθηκε με κώδικα που προκάλεσε τη σύνδεση 100 εκατομμυρίων μολυσμένων συσκευών σε διακομιστές ελεγχόμενους από επιτιθέμενους και τη λήψη κρυφών δεδομένων.
Τώρα, η ιστορία επαναλαμβάνεται. Ερευνητές από την ίδια εταιρεία ασφαλείας που εδρεύει στη Μόσχα ανέφεραν τη Δευτέρα ότι βρήκαν δύο νέες εφαρμογές, που κατέβηκαν από το Play 11 εκατομμύρια φορές, οι οποίες είχαν μολυνθεί από την ίδια οικογένεια κακόβουλου λογισμικού. Οι ερευνητές, από την Kaspersky, πιστεύουν ότι ένα κακόβουλο κιτ ανάπτυξης λογισμικού για την ενσωμάτωση διαφημιστικών δυνατοτήτων είναι και πάλι υπεύθυνο για αυτή την εξέλιξη.
Τα κιτ προγραμματιστών λογισμικού, πιο γνωστά ως SDK, είναι εφαρμογές που παρέχουν στους προγραμματιστές πλαίσια που μπορούν να επιταχύνουν σημαντικά τη διαδικασία δημιουργίας εφαρμογών βελτιστοποιώντας τις επαναλαμβανόμενες εργασίες.
Μια μη επαληθευμένη μονάδα SDK που ενσωματώθηκε στις εφαρμογές υποστήριξε φαινομενικά την εμφάνιση διαφημίσεων.
Στο παρασκήνιο, παρείχε μια σειρά από προηγμένες μεθόδους για κρυφή επικοινωνία με κακόβουλους διακομιστές, όπου οι εφαρμογές ανέβαζαν δεδομένα χρήστη και κατέβαζαν κακόβουλο κώδικα που θα μπορούσε να εκτελεστεί και να ενημερωθεί ανά πάσα στιγμή.
Ποια μέθοδο ακολουθεί και μπόρεσε να μολύνει το Google Play
Η οικογένεια κρυφών κακόβουλων προγραμμάτων και στις δύο καμπάνιες είναι γνωστή ως Necro. Αυτή τη φορά, ορισμένες παραλλαγές χρησιμοποιούν τεχνικές όπως η στεγανογραφία, που είναι μια μέθοδος συσκότισης που σπάνια εμφανίζεται σε κακόβουλο λογισμικό για κινητά.
Ορισμένες παραλλαγές αναπτύσσουν επίσης έξυπνο tradecraft για την παράδοση κακόβουλου κώδικα που μπορεί να εκτελεστεί με αυξημένα δικαιώματα συστήματος.
Μόλις οι συσκευές μολυνθούν με αυτήν την παραλλαγή κακόβουλου λογισμικού, επικοινωνούν με έναν διακομιστή εντολών και ελέγχου που ελέγχεται από τον εισβολέα και στέλνουν αιτήματα ιστού τα οποία περιέχουν κρυπτογραφημένα δεδομένα JSON που αναφέρουν πληροφορίες για κάθε παραβιασμένη συσκευή και εφαρμογή που φιλοξενεί τη λειτουργική μονάδα.
Ο διακομιστής, με τη σειρά του, επιστρέφει μια απάντηση JSON που περιέχει έναν σύνδεσμο προς μια εικόνα PNG και τα σχετικά μεταδεδομένα που περιλαμβάνουν τον κατακερματισμό της εικόνας.
Εάν η κακόβουλη μονάδα που είναι εγκατεστημένη στη μολυσμένη συσκευή επιβεβαιώσει ότι ο κατακερματισμός είναι σωστός, πραγματοποιεί λήψη της εικόνας.
Η ενότητα SDK «χρησιμοποιεί έναν πολύ απλό στεγανογραφικό αλγόριθμο», εξήγησαν οι ερευνητές της Kaspersky σε ξεχωριστή ανάρτηση.
«Εάν ο έλεγχος MD5 είναι επιτυχής, εξάγει τα περιεχόμενα του αρχείου PNG – τις τιμές των pixel στα κανάλια ARGB – χρησιμοποιώντας τυπικά εργαλεία Android. Στη συνέχεια, η μέθοδος getPixel επιστρέφει μια τιμή της οποίας το λιγότερο σημαντικό byte περιέχει το μπλε κανάλι της εικόνας και η επεξεργασία ξεκινά στον κώδικα».
Πηγή foxreport.gr
Ακολουθήστε το στο Google News και μάθετε πρώτοι όλες τις ειδήσεις.