By: Michal Ziv, Or Mizrahi, Danil Golubenko

Highlights:

  • Μια τροποποιημένη έκδοση της δημοφιλούς εφαρμογής ανταλλαγής μηνυμάτων Telegram βρέθηκε να είναι κακόβουλη
  • Το κακόβουλο λογισμικό στην εφαρμογή μπορεί να εγγράψει το θύμα σε διάφορες συνδρομές επί πληρωμή, να πραγματοποιήσει αγορές εντός της εφαρμογής και να υποκλέψει στοιχεία σύνδεσης.
  • Αυτή η κακόβουλη εφαρμογή Android εντοπίστηκε και αποκλείστηκε από το Check Point Harmony Mobile

Οι τροποποιημένες εκδόσεις εφαρμογών για κινητά είναι πολύ συνηθισμένες στον κόσμο των κινητών τηλεφώνων. Αυτές οι εφαρμογές μπορεί να προσφέρουν επιπλέον δυνατότητες και ρυθμίσεις, μειωμένες τιμές ή να είναι διαθέσιμες σε μεγαλύτερο εύρος αγορών σε σύγκριση με την αρχική τους εφαρμογή. Η προσφορά τους μπορεί να είναι αρκετά ελκυστική ώστε να δελεάσει αφελείς χρήστες να τις εγκαταστήσουν μέσω ανεπίσημων εξωτερικών καταστημάτων εφαρμογών.

Ο κίνδυνος από την εγκατάσταση τροποποιημένων εκδόσεων προέρχεται από το γεγονός ότι ο χρήστης είναι αδύνατο να γνωρίζει ποιες αλλαγές έγιναν στον κώδικα της εφαρμογής. Για να είμαστε πιο ακριβείς – είναι άγνωστο ποιος κώδικας προστέθηκε και αν έχει κακόβουλη πρόθεση.

Η ερευνητική ομάδα της Check Point για κινητά ανακάλυψε πρόσφατα μια τροποποιημένη έκδοση της δημοφιλούς εφαρμογής Telegram Messenger για Android. Η κακόβουλη εφαρμογή εντοπίστηκε και αποκλείστηκε από το Harmony Mobile. Αν και μοιάζει αθώα, αυτή η τροποποιημένη έκδοση είναι ενσωματωμένη με κακόβουλο κώδικα που συνδέεται με το Trojan Triada. Το Trojan Triada, το οποίο εντοπίστηκε για πρώτη φορά το 2016, είναι μια σπονδυλωτή κερκόπορτα για το Android που παρέχει προνόμια διαχειριστή για τη λήψη άλλου κακόβουλου λογισμικού.  
 

Telegram 9.2.1 – Τροποποιημένο με Triada Trojan

Η τέλεια μεταμφίεση

Το κακόβουλο λογισμικό μεταμφιέζεται σε Telegram Messenger έκδοση 9.2.1. Έχει το ίδιο όνομα πακέτου (org.telegram.messenger) και το ίδιο εικονίδιο με την αρχική εφαρμογή Telegram. Κατά την εκκίνηση, ο χρήστης εμφανίζεται με την οθόνη ελέγχου ταυτότητας του Telegram, του ζητείται να εισάγει τον αριθμό τηλεφώνου της συσκευής και να χορηγήσει στην εφαρμογή δικαιώματα τηλεφώνου.

Αυτή η διαδικασία μοιάζει με την πραγματική διαδικασία ελέγχου ταυτότητας της αρχικής εφαρμογής Telegram Messenger. Ο χρήστης δεν έχει κανέναν λόγο να υποψιαστεί ότι συμβαίνει κάτι ασυνήθιστο στη συσκευή.


Εικόνα 1: Το κακόβουλο λογισμικό μεταμφιέζεται ως εφαρμογή Messenger Telegram

Στο Παρασκήνιο

Η στατική ανάλυση των εφαρμογών δείχνει ότι κατά την εκκίνηση της εφαρμογής, ένας κακόβουλος κώδικας εκτελείται στο παρασκήνιο, μεταμφιεσμένος ως εσωτερική υπηρεσία ενημέρωσης εφαρμογών.

Εικόνα 2: Ο κακόβουλος κώδικας μεταμφιεσμένος ως υπηρεσία ενημέρωσης

Το κακόβουλο λογισμικό συλλέγει πληροφορίες για τη συσκευή, δημιουργεί ένα κανάλι επικοινωνίας, κατεβάζει ένα αρχείο ρυθμίσεων και περιμένει να λάβει το ωφέλιμο φορτίο από τον απομακρυσμένο διακομιστή.

Εικόνα 3: Το κακόβουλο λογισμικό κατεβάζει το ωφέλιμο φορτίο         

Εικόνα 4: Το κακόβουλο λογισμικό φορτώνει το ωφέλιμο φορτίο

Μόλις το payload αποκρυπτογραφηθεί και ξεκινήσει – Το Triada αποκτά προνόμια συστήματος, τα οποία του επιτρέπουν να εισχωρεί σε άλλες διεργασίες και να εκτελεί πολλές κακόβουλες ενέργειες.

Προηγούμενες έρευνες που πραγματοποιήθηκαν σε payloads Triada παρουσίασαν τις ποικίλες κακόβουλες ικανότητες του Triada. Αυτές περιλαμβάνουν την εγγραφή του χρήστη σε διάφορες συνδρομές επί πληρωμή, την πραγματοποίηση αγορών εντός της εφαρμογής χρησιμοποιώντας τα SMS και τον αριθμό τηλεφώνου του χρήστη, την εμφάνιση διαφημίσεων (συμπεριλαμβανομένων αόρατων διαφημίσεων που εκτελούνται στο παρασκήνιο) και την κλοπή διαπιστευτηρίων σύνδεσης και άλλων πληροφοριών χρήστη και συσκευής.

Πώς να προστατεύσετε τη συσκευή σας από Trojan Malwares

  • Κατεβάζετε πάντα τις εφαρμογές σας από αξιόπιστες πηγές, είτε πρόκειται για επίσημες ιστοσελίδες είτε για επίσημα καταστήματα και αποθετήρια εφαρμογών.
  • Ελέγξτε ποιος είναι ο συγγραφέας και δημιουργός της εφαρμογής πριν τη λήψη. Μπορείτε να διαβάσετε σχόλια και αντιδράσεις προηγούμενων χρηστών πριν από τη λήψη
  • Να είστε προσεκτικοί με τις άδειες που ζητούνται από την εγκατεστημένη εφαρμογή και αν είναι πράγματι απαραίτητες για τη λειτουργία της πραγματικής εφαρμογής.

Το Check Point Harmony Mobile παρέχει πλήρη προστασία και αποτρέπει τη διείσδυση κακόβουλου λογισμικού στις συσκευές, ανιχνεύοντας και εμποδίζοντας τη λήψη κακόβουλων εφαρμογών σε πραγματικό χρόνο. Επιπλέον, επεκτείνοντας τις κορυφαίες τεχνολογίες ασφάλειας δικτύου της Check Point σε κινητές συσκευές, το Check Point Harmony Mobile προσφέρει ένα ευρύ φάσμα δυνατοτήτων ασφάλειας δικτύου. Το Check Point Harmony Mobile διασφαλίζει ότι οι συσκευές δεν εκτίθενται σε κίνδυνο με αξιολογήσεις κινδύνου σε πραγματικό χρόνο που ανιχνεύουν επιθέσεις, ευπάθειες, αλλαγές ρυθμίσεων και προηγμένο rooting και jailbreaking.

Το Check Point Harmony Mobile™ είχε ανιχνεύσει και ήδη ειδοποιήσει επιτυχώς για τη νέα παραλλαγή Triada από τις αρχές Νοεμβρίου του περασμένου έτους – πριν από οποιονδήποτε άλλο προμηθευτή στο VirusTotal!

 

 

 

 

 

 

Συγκεντρώσαμε επίσης μια συλλογή IOC δειγμάτων Triada στο VT:

https://www.virustotal.com/gui/collection/03ca78b275634b0311acdd552353e0c05936a73b516f80f9f3777ab16f0a8e4d

References:

https://blog.checkpoint.com/research/in-the-wild-mobile-malware-implements-new-features/

https://securelist.com/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/74032/

https://security.googleblog.com/2019/06/pha-family-highlights-triada.html

https://securelist.com/triada-trojan-in-whatsapp-mod/103679/