"Android / NotCompatible" Vypadá to, Piece of PC botnetu

Mnoho nedávných útoků na uživatele Android jsou přičítány na falešné webové stránky populárních aplikací, jako je Cut laně, Instagram a Angry Birds nebo Grand Theft Auto III. Nicméně, nedávno zjistil, malware NotCompatible používá metody distribuce dosud vidět v mobilním světě. V malware hacky do ohrožených webových stránek aplikovat skrytý iframe, který poukazuje na nebezpečný aplikace. Tato aplikace se stáhne do zařízení bez souhlasu uživatele, když oběť navštíví infikovanou legitimní webové stránky. Pojďme se podívat hlouběji do tohoto škodlivého aplikaci, která má velmi zajímavý náklad, který není běžný v mobilním světě.

Několik stránky byly nalezeny s vstřikovaného skryté iframe, většina z nich založen na staré verzi WordPress a se špatným povolení stavby.

, Že kus kódu přesměrování na jiný počítač a hxxp :/ / android [cenzurováno] fix.info/fix1.php~~HEAD=pobj, že zjišťuje, zda prohlížeč agent Android. V tomto případě server poskytuje zařízení adresu URL, která odkazuje na obalu instalačního Android, který bude automaticky staženy a uloženy do zařízení na SD kartu. Malware je stažen, ale není spuštěn, ale vyžaduje, aby uživatel pomoc aktivovat. K uskutečnění tohoto kroku, aplikace jmenuje stažený soubor Update.apk a aplikace com.Security.Update oklamat uživatele do podezření, že ke stažení je legitimní systém Android aktualizace:

Jak jsme viděli v předchozích obrázků, bude NotCompatible automaticky spustí při startu. Z tohoto důvodu aplikace nemá ikonu. Začíná to jako službu běžící na pozadí až po restartu, nebo když na displeji přístroje změní svůj stav (mezi uzamčena a odemknout). Tato služba otevírá zadní vrátka, aby přijímal příkazy ze vzdáleného serveru.

Vzdálené IP a port servery jsou šifrována pomocí AES uvnitř APK týden v / res / suroviny / data. Při analýze jsme dešifrovat to jako notcompatibleapp.eu portu 48976 a 3na3budet9.ru portu 38691. Tyto parametry lze změnit pomocí dálkového pokyn z řídící server.

NotCompatible používá nový I / O API Proxy provedení, což je low-level API, které umožňuje přístup k intenzivní vstupně-výstupních operací. Toto API poskytuje útočníkům účinnou metodu pro odesílání a přijímání příkazů ve vlastních balíčků.

Jakmile je služba spuštěna, NotCompatible komunikuje s řídicí server pro odesílání dat TCP balíčky s vlastní příkazy. První zpráva odeslána infikovaného zařízení je následující (vždy odeslány TCP port 8014):

04000001050000000007000000

Ovládání server obdrží tuto zprávu potvrzující, že infikované zařízení je aktivní a reaguje s Ping zprávy:

040000010100000004

K tomu infikovaného zařízení reaguje s Pong :

040000010100000005

Po této inicializaci protokolu Control Server požaduje, aby zařízení pro přístup konkrétní HTML stránku k ověření se ověřením řetězec A35T7G:

Viděli jsme podobné chování v PC malware Windows (detekována jako McAfee Generic.dx! Bd3j), který odesílá a přijímá stejné datové balíčky na stejný port, ale s jiným kontrolním serveru IP adresu. To naznačuje, že infikované mobilní zařízení a PC malware pravděpodobně patří do stejné botnet.

Tyto příkazy lze vzdáleně provádět kontrolní serveru:

• Poslat Chyba: Pošle vlastní paket s konkrétním bytem, ​​když příkaz odeslán kontrolní serveru je neplatný
• ConnectProxy: Získá IP adresu a port jako parametry a snaží se otevřít připojení k této vzdálené hostitele, pravděpodobně proto, aby předal síťový provoz odeslán kontrolní serveru na jiný počítač
• ShutdownChannel: Zavře konkrétní spojení se vzdáleným hostitelem
• sendPong: Pošle vlastní paket s určitou bytu, pokud je paket s posledním byte "4" obdržel (ping).Používá se kontrolní serveru testovat připojení k síti s infikovanou zařízení.
• setTimeout: Nastaví určité období, během něhož připojení ke vzdálenému počítači je živý
• newServer: Aktualizace konfigurace (AES šifrovaný v souboru data.bin uvnitř zařízení), s novým kontrolním serveru
• newReservServer: stejné jako newServer ale záložní řídicí serveru

Na základě naší předchozí analýze jsme došli k závěru, že NotCompatible je neobvyklé pro Android malware až k uživateli pomocí drive-by útok, který by mohl představovat potvrzuje koncepci cíleného útoku. Malware byl navržen tak, aby provedení bizarní vzdálené příkazy a chovat se jako server proxy přesměrování provozu přímo z přístroje. To může být použito, aby se zabránilo sledování nezákonných činů tím, že provoz v síti anonymní. Také na základě podobnosti síťového provozu (povely, přístavy, smyčce), je velmi možné, že i pro Android a PC malware patří do stejné botnet. Asi budeme vidět více Android malware tohoto druhu. McAfee Mobile Security detekuje hrozbu Android / NotCompatible.A.