Niebezpieczny malware na Androida. CERT Polska ujawnia szczegóły

• Złośliwy plik był podsuwany ofiarom jako rzekoma aktualizacja Booking Pulse.
• Aplikacja działała jako dropper, czyli program, którego zadaniem jest dostarczenie i uruchomienie kolejnych elementów malware.
• Ostatecznym celem było przejęcie kontroli nad urządzeniem.

Jak wskazuje CERT Polska, analizowana próbka była rozpowszechniana za pomocą wiadomości phishingowych, czyli fałszywych wiadomości mających skłonić odbiorcę do kliknięcia w link lub podania danych.

W tym przypadku użytkownik trafiał na spreparowaną stronę imitującą komunikat bezpieczeństwa Booking.com.

Po kliknięciu w link ofiara była przekierowywana do fałszywej strony aktualizacji aplikacji Booking Pulse. Strona zachęcała do pobrania pliku APK, czyli pakietu instalacyjnego aplikacji na Androida, który w rzeczywistości zawierał złośliwe oprogramowanie.

Wieloetapowy łańcuch infekcji

Pobrana aplikacja, com.pulsebookmanager.helper, nie ujawniała od razu swojego szkodliwego charakteru. Działała jako dropper, czyli narzędzie przygotowujące urządzenie do pobrania i uruchomienia kolejnych procesów w ramach ataku.

Analiza wykazała, że aplikacja:

• uruchamia bibliotekę natywną, czyli komponent napisany na niższym poziomie, bezpośrednio współpracujący z systemem,
• odszyfrowuje i instaluje drugi plik APK podszywający się pod Google Play Services,
• wydobywa kolejny ukryty moduł, który zawiera właściwe funkcje szkodliwego oprogramowania.

Dopiero ostatni etap aktywuje pełne możliwości malware. Taki wielowarstwowy mechanizm ma utrudnić wykrycie zagrożenia i analizę próbki.

Finalny moduł - zdalne przejęcie urządzenia

Końcowy payload, czyli właściwy szkodliwy kod wykonywany na końcu procesu infekcji, to narzędzie typu RAT. Skrót RAT pochodzi od Remote Access Trojan i oznacza złośliwe oprogramowanie dające atakującemu zdalny dostęp do urządzenia ofiary.

W tym przypadku malware umożliwiało m.in.:

• przechwytywanie SMS-ów i danych logowania,
• podgląd ekranu telefonu w czasie rzeczywistym,
• dostęp do kamery,
• wykonywanie zdalnych działań na urządzeniu, takich jak kliknięcia i gesty.

Oznacza to, że przestępca może nie tylko kraść dane, ale też aktywnie sterować telefonem ofiary.

Wykorzystanie usług ułatwień dostępu

Szczególnie groźnym elementem działania malware było nadużycie usług ułatwień dostępu. To funkcje systemowe zaprojektowane z myślą o osobach z niepełnosprawnościami, które pozwalają aplikacjom odczytywać zawartość ekranu i wykonywać określone działania w imieniu użytkownika.

Jeżeli złośliwa aplikacja uzyska taki dostęp, może obserwować to, co pojawia się na ekranie, naciskać przyciski, przechwytywać wpisywany tekst i omijać część zabezpieczeń.

Techniczne szczegóły działania

Analiza próbki ujawniła zaawansowane techniki ukrywania kodu i dostarczania kolejnych etapów ataku.

Wśród kluczowych elementów znalazły się:

• szyfrowanie części kodu, czyli ukrywanie go w taki sposób, aby nie był od razu czytelny,
• wykorzystanie biblioteki natywnej do dekodowania ukrytych danych,
• ukrywanie plików w zasobach wyglądających jak zwykłe pliki graficzne,
• dynamiczne ładowanie plików dex, czyli plików zawierających kod wykonywany przez aplikacje Androida.

Malware komunikowało się z serwerem sterującym za pomocą kanałów WebSocket, czyli technologii umożliwiającej stałą, dwukierunkową komunikację między urządzeniem a serwerem.

Dzięki temu atakujący mógł na bieżąco wydawać polecenia zainfekowanemu telefonowi.

Socjotechnika i ukrywanie prawdziwego celu

Skuteczność kampanii opierała się nie tylko na technicznych mechanizmach, ale też na socjotechnice, czyli manipulowaniu zachowaniem użytkownika.

Ofiara widziała znajome logo i komunikaty przypominające prawdziwe powiadomienia związane z bezpieczeństwem aplikacji.

Po instalacji aplikacja nie ujawniała od razu swojego rzeczywistego działania. Taka taktyka sprawia, że użytkownik może nie zauważyć zagrożenia na wczesnym etapie, a system bezpieczeństwa ma mniej sygnałów ostrzegawczych.

Jak się chronić przed tego typu zagrożeniami?

Eksperci CERT Polska wskazują kilka podstawowych zasad bezpieczeństwa. Najważniejsze jest pobieranie aplikacji wyłącznie z oficjalnych sklepów, takich jak Google Play Store lub App Store, a także unikanie instalacji plików APK z linków przesyłanych w wiadomościach.

Szczególną ostrożność należy zachować wtedy, gdy aplikacja po instalacji prosi o dostęp do usług ułatwień dostępu, nagrywania ekranu, odczytu powiadomień lub wyświetlania nakładek ekranowych.

Tego typu żądania, zwłaszcza w przypadku aplikacji pobranej spoza oficjalnego sklepu, powinny być traktowane jako poważny sygnał ostrzegawczy.

Rosnące zagrożenie dla użytkowników smartfonów

Analizowana kampania pokazuje, że ataki na urządzenia mobilne stają się coraz bardziej zaawansowane.

Cyberprzestępcy wykorzystują zarówno rozpoznawalne marki, jak i wieloetapowe techniki infekcji, aby zwiększyć skuteczność działania.

W praktyce oznacza to, że jedno kliknięcie w fałszywy link może doprowadzić do uruchomienia całego mechanizmu, którego efektem jest pełne przejęcie telefonu i danych użytkownika.