Dropperi su krivci za malvere u Google Play prodavnici

Mobilni telefoni, 23.07.2018, 08:30 AM

Tokom protekle godine, autori malvera za Android su se sve više koristili taktiku kojom su zaobilazili Googleova sigurnosna skeniranja i plasirali zlonamerne aplikacije u zvaničnu Play prodavnicu. Ova taktika se oslanja na tehniku koja je prilično česta u svetu desktop malvera, a koja je tek prošle godine postala popularna u Android ekosistemu.

Ova tehnika podrazumeva korišćenje "droppera", što podrazumeva dvostepeni ili višestepeni proces infekcije u kojem je malver prve faze često relativno jednostavna pretnja ograničenih mogućnosti, a njegova glavna uloga je da stekne uporište na uređaju kako bi se mogle preuzeti mnogo moćnije pretnje.

U desktop okruženjima dropperi nisu naročito efikasni, pošto je na tim uređajima praksa korišćenja antivirusa široko rasprostranjena, a antivirusni softver otkriva ove pretnje, kao i one koje se kasnije preuzimaju u drugoj fazi infekcije. Međutim, ova taktika je prilično efikasna u mobilnom okruženju. To je zato što većina korisnika mobilnih telefona ne koristi antivirus, tako da na uređajima nema skenera koji bi mogli da otkriju malvere prve faze.

To znači da su jedine sigurnosne mere koje se primenjuju Googleovi skeneri koji proveravaju aplikacije pre nego što im se odobri prisustvo u Play prodavnici.

Autori malvera su u proteklih nekoliko godina shvatili da je Googleu veoma teško da otkrije "droppere" koji su skriveni u legitimnim aplikacijama. Tokom proteklih godina, sve više autora Android malvera počelo je da deli svoj zlonamerni kod u dva malvera - droppera i pravog malvera.

Razlog je taj što dropperi zahtevaju manji broj dozvola i i njihovo ponašanje je takvo da se ne prepoznaje kao zlonamerno. Pored toga, dodavanje tajmera koji odlažu izvršenje zlonamernog koda na nekoliko sati, takođe pomaže da zlonamerni softver ostane neotkriven tokom Googleovog skeniranja.

Ovi jednostavni trikovi omogućavaju dropperima da se ušunjaju u prodavnicu Play skriveni u svim vrstama aplikacija, svrstanih u brojne kategorije.

Kada korisnici pokrenu aplikacije, koji u većini slučajeva rade ono što tvrde da rade, zlonamerni kod se izvršava, dropperi traže dozvole, a ako ih dobiju, onda preuzimaju potentnije malvere.

Ovu taktiku uglavnom su koristili autori malvera koji šire verzije Exobota, LokiBota i BankBot mobilnog bankarskog trojanca, ali su je u međuvremenu usvojili i mnogi drugi.

Istraživači iz ThreatFabrica su se cele prošle godine i početkom ove bavili ovim trendom povećane upotrebe, popularnosti i efikasnosti dropper aplikacija u Play prodavnici, opisujući napade u kojima su korišćeni Android bankarski malveri kao što je BankBot (Anubis I), BankBot (Anubis II), Red Alert 2.0/2.1, LokiBot, i Exobot.

Sada je IBM X-Force objavio izveštaj o nedavnoj kampanji širenja Anubis II malvera, jedne od najnovijih verzija BankBota. Novi trend korišćenja sličnih dropper malvera (koji se nazivaju i malveri downloaderi) navelo je stručnjake IBM-a da zaključe da neke grupe sajber kriminalaca sada rukovode "downloader-as-a-service" (DaaS) uslugama, i iznajmljuju "prostor za instalaciju" na svojim dropper aplikacijama za nekoliko drugih grupa. To objašnjava zašto većina droppera izgleda isto, a ponekad i distribuira širok spektar različitih malvera, a ne samo jedan malver. Ovo je rezultiralo novim poslovnim modelom gde se instalacije u Google Play se prodaju vlasnicima malvera.

To i nije toliko iznenađenje jer se upravo to dešava i na tržištu desktop malvera gde je rentiranje droppera drugim kriminalnim grupama mnogo unosniji posao nego pokretanje sopstvenog bankarskog trojanca.

Na primer, ove nedelje Symantec je objavio izveštaj u kome se ističe kako se zloglasni i veoma opasni Emotet bankarski trojanski polako pretvorio u dropper i sada distribuira druge bankarske trojance kojima je nekada bio konkurencija.

Sve veći broj zlonamernih Android aplikacija je jedan od razloga zbog kojih je Google pokrenuo uslugu Play Protect, sigurnosnu funkciju ugrađenu u zvaničnu Play Store aplikaciju koja neprestano skenira lokalno instalirane aplikacije kako bi se otkrilo zlonamerno ponašanje i zlonamerne izmene u lokalnim aplikacijama koje nisu otkrivene tokom procesa odobravanja aplikacija od strane Play prodavnice.

Google nije u prednosti, barem za sada jer je teško otkriti dropper aplikacije. Nema sumnje da će autori malvera uložiti puno truda da te aplikacije i dalje ostanu neprimećene.

Na primer, maliciozni kod dropper aplikacija postaje aktivan samo kada dobije komandu sa komandno-kontrolnog servera, što znači da će bez određenih akcija ponašanje aplikacije izgledati benigno.

Ovakve tehnike izgledaju jednostavno, ali ih je teško reprodukovati i detektovati u okruženjima automatizovanog testiranja. Google bi morao da uključi dodatne indikatore zlonamerne aktivnosti prilikom obavljanja skeniranja.