Analiza varijante FluBot malwarea (lokalno nazvani Voicemail)


Phishing napad putem SMS-a koji je neki dan zabilježen u našim krajevima sadržava zloćudni softver za Android koji je inačica FluBota, malwarea koji krade bankovne podatke i još puno, puno toga

Nažalost, phishing napada, tj. napada socijalnim inženjeringom kojim se pokušava navesti korisnika da napravi nešto štetno po njega, ima sve više i više. Neki dan prijavljeni napad SMS-om, poznatiji kao smishing, samo je dodatni dokaz da se nikad ne možemo opustiti, barem kad se priča o informacijskoj sigurnosti.
U pokušajima smishinga najčešće se oponašaju banke, dostave službe te zatim teleoperateri (što se dogodilo i u našem slučaju), a želja je, kao i uvijek, dobiti nešto od korisnika. Bilo da se radilo npr. o prikupljanju informacija ili preusmjeravanju prema web stranicama koje oponašaju legalne servise, krajnji rezultat je često financijska šteta pojedinca.
SMS, makar to čovjek ne bi pomislio, je odličan vektor početnog napada jer nam SMS u podsvijesti znači nešto hitno. Jer tko još danas šalje SMS-ove?! Osim dostavnih službi i teleoperatera. Pa kad se takva poruka pojavi, dosta ljudi će kliknuti na njezin sadržaj.

Analiza konkretnog slučaja

flubot_SMS_androidflubot_SMS_iphone
Naš slučaj koji se odvijao prije par dana slao je SMS poruke korisnicima bez obzira na operativni sustav koji mobilni uređaj koristi (poruke su dobivali korisnici Androida i iOS-a, iako su zapravo samo oni korisnici s Android operacijskim sustavom bili meta napada). Sadržaj SMS-a obavještavao je korisnike da imaju jednu novu govornu poštu.
Neki mobiteli automatski su proglašavali poruku zapravo nepoželjnom, no i dalje je bilo moguće kliknuti na link u njezinom sadržaju. Link je vodio na aplikaciju nazvanu Voicemail koju je korisnik trebao instalirati kako bi poslušao ostavljenu poruku – kao što je već rečeno, aplikacija je radila isključivo na raznoraznim Androidima pa korisnici iOS-a nisu, ovaj put, imali problema.

Uz dosta prijava Incident Response tim iz Infigo IS-a skinuo je APK datoteku (koja sadržava programe koji se instaliraju na mobitele pogonjene Androidom), čiji je kôd bio dodatno sakriven (engl. obfuscation), te ga rastavio i pogledao što radi, kome se sve javlja i kakvih još zanimljivih detalja se može u njemu naći.
flubot_01_action flubot_02_access

flubot_03_control flubot_04_allow

U samom startu zanimljivo je kako je za funkcioniranje zloćudnog programa potrebno dosta korisničke volje i upornosti – korisnik prvo treba kliknuti na link u SMS poruci, zatim treba preuzeti aplikaciju Voicemail, onda treba pokušati instalirati aplikaciju (i uključiti u opcijama mogućnost instaliranja iz nepoznatog izvora jer Android automatski onemogućuje instaliranje izvan službene trgovine Google Play Store) te kad sve to napravi, treba dati dozvole kako bi se program mogao izvršiti i početi raditi ono za što je napravljen. No, bez obzira na to, postoje korisnici koji su sve to napravili.
app_permission
Statičkom analizom (kod analiziranja malwarea statička analiza je ona koja se obavlja bez pokretanja programa) pokazalo se kako aplikacija traži puno dozvola, od čitanja imenika, slanja SMS-ova, obavljanja poziva, no posebno je zanimljiva dozvola za ignoriranje optimizacije baterije koja odmah sugerira na malware koji radi u pozadini i sakriva se od korisnika. To je izuzetno često kod malwarea koji služi za krađu bankovnih podataka.

Dinamička analiza (to je ona koja se radi pokretanjem zloćudnog softvera u sigurnom i izoliranom okruženju) pokazuje da pri prvom pokretanju aplikacija traži dozvole preko Android Accessibilityja, podsustava koji dozvoljava autorima legitimnih aplikacija da ih prilagode korisnicima s invaliditetom. U ovom slučaju ukoliko korisnik da tu dozvolu, zloćudni softver je iskoristi za onemogućavanje Play Protecta, sustava kojim Google dodatno štiti korisnike baš da ne bi instalirali softver koji će nekako naštetiti njihovom uređaju.

Ukoliko je korisnik prošao sve korake i aplikacija je pokrenuta, ona počinje komunikaciju s udaljenim C&C (Command & Control) serverom. On služi kao kontrolna točka gdje zloćudna aplikacija ostavlja pročitane podatke s mobilnog uređaja, a među njima su i svi kontakti. Zanimljivo je da zloćudni softver neće poslati SMS poruke svim kontaktima nego će to obaviti pametnije putem balansiranijeg pristupa – no bez obzira na to kojim sve kontaktima šalje nove SMS-ove, na serveru se zadržavaju kompletni imenici. Drugim riječima, za bilo kojeg korisnika koji je, na žalost, pokrenuo ovaj zloćudni softver, svi njihovi kontakti poslani su na C&C server.
Nakon toga, aplikacija zapravo od istog C&C servera dobije SMS poruku koju će slati, prema geografskoj lokaciji korisnika (zato i imamo poruke na hrvatskom), kao i popis ciljnih brojeva na koje će SMS biti poslan. To objašnjava zašto je većina poruka primljena od nepoznatih (ali ispravnih) brojeva.
U slučaju "našeg" malwarea, on je komunicirao sa serverima na ruskim (.ru) domenama putem enkriptirane veze. Ti konkretni serveri su već poznati i korišteni su napadima koji su se prošle godine počeli javljati u Španjolskoj, a sadržavali su i poruku na ruskom za sigurnosne analitičare koji ih uspiju pronaći, zajedno s videom ruskog političara Dmitryja Medvedeva.

Malware u pitanju nazvan je FluBot i krajem prošle godine u Španjolskoj je uspio zaraziti čak 60.000 korisnika te prikupiti sve skupa 11 milijuna telefonskih brojeva! Kao i kod nas, širio se putem SMS-a (pretvarajući se kao poruka dostavnih službi), a cilj mu je bio krađa podataka o korisnicima među kojima su i pristupni podaci u mobilno bankarstvo i brojevi kreditnih kartica.
Makar su Španjolci uspjeli uhititi četiri muškarca u vezi s tim hakerskim napadom, očito je da to nije bilo dovoljno da se u potpunosti prekine. Uskoro smo vidjeli širenje po ostatku Europe te je sada zabilježen u Njemačkoj, Ujedinjenom Kraljevstvu, Mađarskoj, Poljskoj, Italiji, Norveškoj, Švedskoj, Finskoj, Danskoj i Nizozemskoj, a kako vidimo, stigao je i u Hrvatsku, ako ne originalni FluBot, onda neka njegova podvarijanta.
Naša inačica, barem u ovom trenutku analize, nije imala nikakve komponente koje bi ukazivale na napade na hrvatske banke, no potrebno je napomenuti da je napadačima to izuzetno lako dodati s obzirom da zloćudna aplikacija može koristiti tzv. overlay napad. Ova funkcionalnost je omogućena kroz standardna Android sučelja aplikaciji koja ima visoke privilegije – kod analiziranog zloćudnog kôda ova komponenta funkcionira tako da se s C&C servera skine HTML stranica koja izgleda jednako kao i ekran za prijavu u mobilno bankarstvo, nakon čega se ista prikazuje preko legitimne aplikacije mobilnog bankarstva, kada ju korisnik pokrene. Drugim riječima, kada se na inficiranom uređaju pokrene (legitimna) aplikacija mobilnog bankarstva, zloćudni će softver preko nje prikazati HTML stranicu koja će izgledati identično, no koja će osigurati da upisani podaci budu uhvaćeni od zloćudne aplikacije (a ne od legitimne aplikacije mobilnog bankarstva).

Trenutno nije poznato tko stoji iza FluBota, no puno toga ukazuje na hakersku grupu iz Rusije kojoj je cilj krađa podataka za pristup mobilnom bankarstvu i brojevima kreditnih kartica.

Tehnički podaci o analiziranom zloćudnom kôdu


APK datoteka:
Voicemail7.apk

IOC:
SHA256: 269083a23a658f3a13b65026a8215814b8d2006e5a09d94ff89995ad7521c22d

Aktivni C&C u trenutku analize: byxibafaytidrcd [dot] ru

Kako se štiti od phishing napada


Prije svega treba prepoznati phishing napad, bez obzira kojim on kanalom dolazio. Jedna od najvažnijih stvari koja se u takvim napadima pokušava napraviti jest igrati na emocije – čim imate osjećaj da je nešto hitno, da će vam ukinuti sve bankovne račune koje ste ikad imali, da vam porezna kuca na vrata, da vam stiže paket, a vi se ne javljate, sve to sugerira da vas se želi staviti u stresno stanje u kojem ste manje oprezni. Tek kad shvatite da ste žrtva napada možete reagirati kako treba – ignorirati pokušaj napada (ne klikati po bilo čemu) i prijaviti sve to nadležnoj službi ili nadzornom tijelu, bilo da se radilo o IT odjelu ili vašem teleoperateru.
Ukoliko sumnjate da je vaš mobilni uređaj zaražen, često je najbolje napraviti reset na tvorničke postavke što bi trebalo otkloniti (makar ovo nije 100 posto sigurno) zloćudni softver. Dakako, takav uređaj ni slučajno se ne smije koristiti za pristup mobilnom bankarstvu ili sličnim osjetljivim sustavima.