Android Overlay malware – strašák českých bank?

Overlay malware se na platformě Android vyskytuje hojně už mnoho let.

Zatímco předchozí verze malware byly víceméně šířeny mailem jako přímý odkaz na stažení malware z neznámých zdrojů a graficky méně zdařilé, pak poslední verze a způsob útoku Android Overlay malware cca od září 2018 již vypadá jinak.

Ne, že by jednodušší Overlay malware zcela vymizel, to vůbec ne, ale ten, o kterém budu psát, stále dokáže Android zařízení infikovat, naposledy minulý týden. Proč tomu tak je? Odpovím obrázky.

Vše je OK a čisté.

Vůbec to není OK a čisté!

Pokud to ještě není zřejmé, stalo se to, co se už stalo mnohokrát a mnohokrát se ještě stane, že se škodlivá aplikace, jako je v tomto posledním případě Word Translator, dostala do Google Play obchodu i přes všechny bezpečnostní mechanismy, které Google neustále zlepšuje. Je to nikdy nekončící proces, a co je dnes bezpečné, zítra už být nemusí.

Tento typ Overlay malware sází na již osvědčený koncept, a to rozdělení malware do dvou částí, na tzv. dropper/downloader, jehož úkolem je na základě definovaných podmínek stáhnout/instalovat vlastní malware. To je i v případě Google Play a jeho bezpečnostních mechanismů důležité, protože tvůrce malware může použít minimum podezřelých mechanismů a vlastní malware je tak bezpečně skrytý. Jakmile Google získá informaci o škodlivé aplikaci, pak ji odstraní nejen u sebe, ale díky Play Protect i na koncových zařízeních.

Pokud se podívám blíže na aplikaci, která byla dostupná na Google Play vidíme, že nic nevidíme. Kde jsou ty třídy té aplikace, kam se nám schovaly? Odpověď najdeme na AppSealing a jejím Runtime Application Self Protection, zkr. RASP, kde se píše: „We provide strong secure features to protect various hacking attacks while runtime.“ A mohli bychom k tomu ještě dodat: „… and to protect your malware”. To samozřejmě platí pro všechny RASP dodavatele.

RASP, jehož smyslem je velmi ztížit dekompilaci a analýzu kódu, primárně jako ochranu proti jeho zkopírování, zároveň přináší i tu vlastnost, že do něj už nevidí ani tvůrce aplikace. RASP poskytuje něco, co může obsahovat malware, ale i nové zranitelnosti, vytěžovat data atd. Jinými slovy užitečná vlastnost, je-li v rukou slušných lidí, ale takto v IT bezpečnosti nesmíme přemýšlet!

Druhou užitečnou vlasností, které útočník zneužívá, je Firebase Cloud Messaging, což mě paradoxně při prvním výskytu malware využívajícím Firebase vůbec nepřekvapilo, neboť když jsem byl na školení k vývoji aplikací pro Android a prakticky jsem se seznamoval s touto tehdy novinkou, tak mne hned napadlo, že to má obrovský potenciál ke zneužití jako C&C pro malware, neboť řadu věcí, které musí řešit útočníci při vytváření C&C, vyřeší Firebase za ně.

Obě výše uvedené vlastnosti představují problémy, a nenabízí se bohužel žádná jednoduchá řešení. Backdoor v RASP pro ty hodné je nesmysl a Firebase zase přináší u řady SW potřebnou a kvalitní funkcionalitu, takže jeho zrušení nepřichází v úvahu, max. nějaký hodně kvalitní monitoring z hlediska anomálií u funkce Firebase Cloud Messaging.

Ale zpět k nakaženému zařízení aplikací z Google Play. Pokud si myslíte, že po instalaci aplikace dojde během chvíle k instalaci vlastního malware, tak jste na omylu. Tak cca 2 dny od instalace se vůbec nic nedělo a pak se najednou aplikace Word Translate pokusila instalovat aplikaci ww.apk z úložiště.

A co je nejlepší, pokud uživatel nemá povolenu instalaci aplikací z neznámých zdrojů, tak to tomuto malware vůbec nevadí(video)!

Jedna interakce uživatele s malware je přesto nutná, a to povolit falešný „Google“ Service, za který se aplikace vydává:

No a pak už je vymalováno, protože jsme ztratili kontrolu nad telefonem.

Oproti předchozím verzím tohoto typu malware si už falešné stránky bankovních aplikací nedrží tento trojan ve vlastním kódu, ale stahuje si je z Internetu, a pokud nemá připojení k Internetu, objeví se místo falešné obrazovky URL, kde sídlí phishing stránka, ze které útočník krade přihlašovací údaje. Vpravo je pak jak to vypadá, když je ona stránka dostupná.

Musím se přiznat, že když jsem se díval do kódu malware (řetězce jsou obfuskované ALLATORI) tak jsem se musel pousmát např. tomuto kódu: intent.putExtra(„android.app.extra.ADD_EXPLANATION“, „You must enable device administration for privacy and security.“);

Aktuálně si daný malware(video) hrál v ČR s těmito aplikacemi:

  • cz.airbank.android
  • cz.csas.georgego
  • com.cleverlance.csas.servis24
  • cz.csas.app.mujstav
  • cz.csob.smartbanking
  • cz.equabank.mobilebanking
  • cz.mbank
  • cz.ulikeit.fio

Daná verze malware, už jen z hlediska počtu falešných obrazovek, primárně cílí na Polsko. To se ale může brzy změnit. Ve zdrojovém kódu jsou i jiné české bankovní aplikace, které nemají vytvořený kód pro overlay útok, což může být jak pozůstatek toho, že je útočník nevymazal z předchozích verzí, ale také to může znamenat i přípravu na budoucí cíle.

A pokud uvidíte na telefonu níže uvedenou obrazovku, obzvláště ve dnech, kdy vaše banka neprovádí údržbu svých aplikací, pak ihned volejte call centrum své banky, protože níže uvedená obrazovka se objeví v čase, kdy útočník už přihlašovací údaje má a jen potřebuje, abyste se tam nedívali, když odčerpává peníze z vašeho účtu.

S příchodem okamžitých plateb do jiné tuzemské banky, které dorazí kdykoli během dne či noci za pár sekund, bez ohledu na to, zda je svátek či nikoliv, je potřeba, aby klienti bank začali být ještě více obezřetní.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Android Overlay malware – strašák českých bank?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: