Fałszywe aplikacje Telegram rozprzestrzeniają się za pośrednictwem domen 607 w nowym ataku złośliwego oprogramowania na Androida
Nowa kampania zagrożeń nakłania użytkowników Androida do pobierania fałszywych aplikacji Telegram z setek złośliwych domen, wynika z najnowszych badań PreCrime Labs firmy BforeAI. Operacja, aktywna w ostatnich tygodniach, wykorzystuje podrabiane strony internetowe, przekierowania za pomocą kodów QR oraz zmodyfikowany plik APK z niebezpiecznymi uprawnieniami i funkcjami zdalnego wykonywania.
Zespół ds. analizy zagrożeń zidentyfikował 607 domen powiązanych z kampanią. Wszystkie podszywają się pod oficjalne strony pobierania Telegrama, większość zarejestrowana za pośrednictwem rejestratora Gname i hostowana w Chinach. Niektóre strony używają nazw domen, takich jak teleqram, telegramapp, i telegramdl , aby naśladować markę, atakując użytkowników, którzy mogą nie zauważyć drobnych zmian w pisowni.
Jak wynika z wpisu na blogu BforeAI udostępnionego serwisowi Hackread.com przed publikacją we wtorek, ofiary są nakłaniane do pobrania aplikacji Telegram Messenger za pośrednictwem linków lub kodów QR.
Badacze zaobserwowali również dwie wersje pliku APK, o rozmiarze 60 MB i 70 MB. Po zainstalowaniu aplikacja na pierwszy rzut oka zachowuje się jak prawdziwa, ale dyskretnie przyznaje szerokie uprawnienia i umożliwia zdalne wykonywanie poleceń.
Zwraca uwagę fakt, że strony phishingowe wykorzystywane w tej kampanii wyglądają jak prywatne blogi lub nieoficjalne fanpage'e. Typowy przykład przekierowuje użytkowników do zifeiji(.)asia , witryny stylizowanej na favicon Telegrama, przyciski pobierania i kolory. Tytuły stron zawierają frazy SEO w języku chińskim, takie jak „Pobierz oficjalną stronę internetową Paper Plane”, co wydaje się być próbą poprawy widoczności w wynikach wyszukiwania, jednocześnie odwracając uwagę użytkowników od rzeczywistego celu aplikacji.
Złośliwy plik APK jest podpisany starszym schematem sygnatur v1, co czyni go podatnym na lukę Janus , która dotyczy wersji Androida od 5.0 do 8.0. Janus pozwala atakującym na wstawienie szkodliwego kodu do legalnego pliku APK bez zmiany jego sygnatury. W takim przypadku złośliwe oprogramowanie zachowuje prawidłową sygnaturę, co pozwala mu ominąć standardowe metody wykrywania.
Po zainstalowaniu na urządzeniu aplikacja wykorzystuje protokoły tekstowe (HTTP, FTP) i szeroko uzyskuje dostęp do pamięci zewnętrznej. Zawiera również kod, który współpracuje z MediaPlayerem i używa gniazd do odbierania i wykonywania poleceń zdalnych. Ten poziom kontroli może być wykorzystany do monitorowania aktywności, kradzieży plików lub przeprowadzania dalszych ataków.
Dla Twojej informacji, luka Janus ( CVE-2017-13156 ) to poważna luka w zabezpieczeniach urządzeń z systemem Android, która umożliwia atakującym modyfikację legalnych plików APK lub DEX bez zmiany ich podpisu kryptograficznego, w wyniku czego złośliwe aplikacje wydają się zaufane i niezmienione.
Kluczowe odkrycie dotyczy obecnie dezaktywowanej bazy danych Firebase pod adresem tmessages2(.)firebaseio(.)com , z której wcześniej korzystali atakujący. Chociaż pierwotna baza danych została wyłączona, badacze ostrzegają, że może ona zostać łatwo reaktywowana przez każdego atakującego, który zarejestruje nowy projekt Firebase pod tą samą nazwą.
Starsze wersje złośliwego oprogramowania, zakodowane na stałe w tym punkcie końcowym, automatycznie łączyłyby się z nową bazą danych kontrolowaną przez atakującego. Taka taktyka wydłuża żywotność kampanii, nawet jeśli pierwotni operatorzy przejdą dalej.
Złośliwa infrastruktura wykorzystuje również śledzący JavaScript, taki jak ajs.js hostowany w telegramt(.)net . Skrypt zbiera dane o urządzeniu i przeglądarce, wysyła je na zdalny serwer i zawiera zakomentowany kod, który wyświetla pływający baner pobierania skierowany do użytkowników Androida. Ta konfiguracja ma na celu zwiększenie liczby instalacji poprzez automatyczne wykrywanie urządzeń i dostosowywanie sposobu działania aplikacji.
Spośród 607 domen, wykorzystanie domen najwyższego poziomu przedstawiało się następująco:
.com: 316-
.top: 87 -
.xyz: 59 -
.online: 31 -
.site: 24
Duża liczba rejestracji domen .com wskazuje na celowe działania mające na celu zwiększenie wiarygodności, natomiast wykorzystanie tanich domen sprzyja szerokiej dystrybucji.
Aby zmniejszyć ryzyko narażenia, BforeAI sugeruje organizacjom podjęcie kilku kluczowych środków ostrożności. Po pierwsze, należy skonfigurować automatyczne monitorowanie domen, aby wychwytywać podejrzane lub podobne rejestracje witryn, zanim staną się aktywne. Ważne jest również skanowanie plików APK, adresów URL i powiązanych wartości skrótu z wykorzystaniem wielu źródeł informacji o zagrożeniach, aby potwierdzić, czy są one bezpieczne.
W miarę możliwości blokuj przesyłanie załączników APK lub SVG , zwłaszcza jeśli te typy plików nie są potrzebne do celów biznesowych. Na koniec upewnij się, że użytkownicy zostali przeszkoleni, aby unikać pobierania aplikacji z nieoficjalnych stron, nawet jeśli strona wygląda na legalną lub naśladuje znaną markę.
Techniki phishingu stały się wyrafinowane, a ta kampania pokazuje, jak stare exploity, takie jak Janus, wciąż mogą być wykorzystywane przeciwko niczego niepodejrzewającym użytkownikom. Wykorzystanie kodów QR, typosquatting i przeprojektowane usługi chmurowe dodają poziom wyrafinowania, który sprawia, że proste filtrowanie już nie wystarcza.
HackRead
