Analiza złośliwego oprogramowania Flubot, czyli o tym jak nie dać się okraść

data aktualizacji

W ostatnim czasie obserwujemy wzmożoną aktywność kampanii SMS, w ramach których posiadacze urządzeń z systemem Android narażeni są na infekcje złośliwym oprogramowaniem z rodziny FluBot. Przykładowe scenariusze ataków polegają na rozsyłaniu oszukańczych SMS-ów, informujących o nieodebranej wiadomości głosowej lub oczekującej przesyłce. Zawarty w treści SMS-a link prowadzi do odpowiednio spreparowanej strony internetowej, służącej rozprzestrzenianiu szkodliwej aplikacji. Instalacja pobranego pliku może prowadzić do potencjalnej kradzieży danych uwierzytelniających (np. do bankowości elektronicznej, mediów społecznościowych, poczty)   i środków finansowych. Zainfekowane urządzenie generuje również ryzyko dalszego rozsyłania szkodliwych treści, narażając nas jednocześnie na wysoki rachunek 1. Jeżeli chcielibyście razem z nami prześledzić wybrane zachowania złośliwego oprogramowania, zapraszamy do lektury poniższego tekstu. 

Sposób dostarczenia 

Pierwszym krokiem w łańcuchu dystrybucji FluBota jest wysłanie do potencjalnej ofiary krótkiej wiadomości tekstowej. Numer adresata może pochodzić np. z książki kontaktowej pobranej z innego zainfekowanego urządzenia, o czym czytamy w raporcie PRODAFT opisującym jedną z wcześniejszych próbek 2. Treści zawarte w przesyłanych SMS-ach mają na celu nakłonienie użytkownika do kliknięcia w złośliwy link. Po skierowaniu na przejętą 3 stronę internetową, imitującą np. firmę kurierską lub dostawcę usług telekomunikacyjnych, zachęca się go do pobrania fałszywej aplikacji.

zdjecie_1

Treści przykładowych wiadomości SMS wykorzystywanych w dystrybucji złośliwego oprogramowania

zdjecie_2

Przejęte serwisy internetowe podszywające się pod wizerunki znanych firm

zdjecie_3.jpg

Ostrzeżenie przed pobraniem aplikacji z niezaufanego źródła

Instalacja i uruchomienie

Po zakończeniu pobierania, użytkownik ma możliwość instalacji aplikacji w systemie operacyjnym. Z uwagi na fakt, że pobrany plik pochodzi spoza Google Play, przy pierwszej instalacji odbywającej się w opisany poniżej sposób, domyślne mechanizmy bezpieczeństwa informują o potencjalnym ryzyku. Jeżeli pomimo ostrzeżenia użytkownik zdecyduje się kontynuować, aplikacja zainstaluje się na urządzeniu.

zdjecie_4.jpg

Proces zmiany ustawień bezpieczeństwa, instalacji i uruchomienia pobranej aplikacji

W momencie uruchomienia, aplikacja wyświetla komunikat nakłaniający do wykonania szeregu czynności. Wiążą się one z udzieleniem pozwolenia na korzystanie z tzw. ułatwień dostępu. Wymieniona funkcja, ułatwiająca korzystanie z systemu osobom niepełnosprawnym, w przypadku złośliwego oprogramowania bywa nadużywana i stosowana w celu przejęcia kontroli nad urządzeniem. Poniższy przykład ilustruje wykorzystanie jej razem z funkcją pozwalającą na dodatkowe kontrolowanie wyświetlanych powiadomień.

zdjecie_5

zdjecie_6

zdjecie_7

Poszczególne ekrany widoczne dla użytkownika podczas przydzielania wymaganych uprawnień

Eskalacja i wykorzystanie uprawnień
W wyniku wykonania powyższych czynności, złośliwe oprogramowanie uzyskuje możliwość podejmowania interakcji z innymi aplikacjami i elementami interfejsu wyświetlanymi przez system operacyjny. Analiza próbek pozwoliła zaobserwować proces samodzielnego podnoszenia kolejnych uprawnień, w tym przydzielania dostępu do kontaktów, połączeń telefonicznych i obsługi SMS-ów. W części przypadków udało się również zaobserwować skuteczne próby wyłączenia usługi Play Protect 4, stanowiącej dodatkową linię obrony przed szkodliwym oprogramowaniem.

zdjecie_8

Widoczne od lewej: złośliwe oprogramowanie samodzielnie definiuje się jako domyślna aplikacja do obsługi SMS-ów; wybrane uprawnienia automatycznie uzyskane przez złośliwą aplikację; udana próba wyłączenia usługi Play Protect

Analizowany malware wykazywał zdolność przesłaniania uruchamianych aplikacji przy użyciu nakładek (ang. overlays). Omawiana technika może zostać wykorzystana w celu kradzieży danych wprowadzanych przez użytkownika. Polega ona na przykryciu okna faktycznie uruchamianej aplikacji za pomocą fałszywego widoku imitującego jej wygląd.W rezultacie użytkownik może odnieść mylne wrażenie o wprowadzaniu np. danych logowania do aplikacji finansowej, podczas gdy w rzeczywistości trafiają one do fałszywej nakładki. W trakcie analizy zaobserwowaliśmy aktywność typu overlay ukierunkowaną na aplikacje kryptowalutowe oraz aplikację do obsługi wiadomości SMS, nie wyklucza to jednak możliwości wystąpienia innych scenariuszy - np. w celu przechwytywania poświadczeń i atakowania aplikacji bankowych, gromadzenia danych kart płatniczych, jak również danych logowania do użytkowanych serwisów. Zważyszy na fakt, że analizowana próbka pozyskała dostęp do uprawnień związanych z obsługą SMS, potencjalnie zagrożone mogą być także wszelkie dane przesyłane tą drogą, np. jednorazowe kody OTP - służące autoryzacji operacji zleconych przy użyciu przejętych poświadczeń.

zdjecie_9

Widoki nakładek podszywających się pod uruchamiane aplikacje

zdjecie_10

Przykład zastosowania mechanizmu overlay w jednej z analizowanych próbek: widok uruchomionych aplikacji- na pierwszym planie widoczna nakładka, po lewej stronie w tle widoczne okno, które jest przykrywane

Ochrona przed FluBotem

Wymienione poniżej dobre praktyki nie wykluczą wszystkich możliwych scenariuszy ataku na urządzenia mobilne, mogą jednak pomóc w ograniczeniu infekcji. W przypadku systemu Android będzie to:

  • Rezygnacja z instalowania na urządzeniu aplikacji wymagających zmiany domyślnych ustawień bezpieczeństwa (chroniących przed instalacją nieznanych aplikacji pochodzących z tzw. “niezaufanych” źródeł).
  • Zachowanie szczególnej ostrożności w przypadku aplikacji usiłujących uzyskać uprawnienia do korzystania z tzw. ułatwień dostępu (ang. accessibility services) oraz powiadomień. Analizowana próbka FluBota wykorzystuje powyższe techniki w celu pozyskania kolejnych uprawnień i przejęcia kontroli nad urządzeniem.
  • Wzmożona czujność w przypadku wiadomości zawierających w swojej treści linki. Mogą one prowadzić do stron wyłudzających dane lub zawierających złośliwe oprogramowanie.
  • Dbanie o posiadanie aktualnej wersji systemu i zainstalowanych aplikacji.

 ____________________

1 Zob. https://ccb.belgium.be/en/news/bipst-and-belgian-cybersecurity-center-sound-alarm-again-about-tsunami-smishing-messages-after

2 Zob. https://raw.githubusercontent.com/prodaft/malware-ioc/master/FluBot/FluBot.pdf

3 Zob. Tamże. Serwisy używane w procesie dystrybucji FluBota stanowią często legalne witryny internetowe, przejęte w celu umieszczenia w nich złośliwej aplikacji.

4 Zob. https://support.google.com/googleplay/answer/2812853?hl=pl