A Cisco Talos publicou suas descobertas em um novo trojan Android conhecido como “GPlayed” em 11 de outubro. Na época, escrevemos que o trojan parecia estar nos estágios de teste de desenvolvimento, com base nos padrões de código, nas strings e na visibilidade da telemetria do malware. . Desde então, descobrimos que já existe um predecessor do GPlayed, que estamos chamando de “GPlayed Banking”. Ao contrário da primeira versão do GPlayed, este não é um trojan bancário abrangente. Especificamente, é um trojan bancário que busca atingir os usuários do Sberbank AutoPay, um serviço oferecido pelo banco estatal russo.
O GPlayed Banking é distribuído de maneira semelhante ao GPlayed original. É disfarçado como uma loja de aplicativos do Google, mas na verdade instala o malware assim que é lançado. Isso ilustra ainda mais o fato de que os usuários do Android precisam ser instruídos sobre como identificar um aplicativo mal-intencionado e que devem ter cuidado com os privilégios que atribuem a determinados programas.
Arquitetura e capacidades de cavalo de Tróia
Este malware é escrito em .NET usando o ambiente GPlayed para aplicativos móveis. O código de malware é implementado em uma DLL chamada “PlayMarket.dll”.
O GPlayed Banking emite seu certificado de pacote com um nome falso que não está relacionado ao nome do aplicativo nem ao nome do pacote.
O pacote do Android é chamado “lola.catgirl”. O aplicativo usa o marcador “Play Google Market”, com um ícone projetado para parecer uma loja de aplicativos Google legítima, e seu nome é “android.app.Application”.
O trojan declara numerosas permissões no manifesto, das quais desejamos destacar o BIND_DEVICE_ADMIN, que fornece controle quase total do dispositivo para o trojan.
As capacidades de trabalho deste trojan são limitadas àquelas necessárias para realizar seu objetivo como um trojan bancário. A única exceção é que também contém a capacidade de exfiltrar todas as mensagens SMS recebidas do usuário para o comando e controle (C2).
Detalhes do cavalo de Tróia
Uma vez executado, o trojan começará a obter privilégios de administrador no dispositivo, solicitando que o usuário altere suas configurações.
Se o usuário cancelar a solicitação de administração do dispositivo, a caixa de diálogo de solicitação será exibida novamente após cinco segundos repetidamente até que o usuário finalmente conceda a ele privilégios de administrador. O malware contém código que pode bloquear a tela do dispositivo, mas nunca é chamado. O mesmo acontece com outro recurso que precisa do privilégio de administrador do dispositivo.
Notavelmente, para executar suas atividades como um trojan bancário, nenhum desses privilégios é necessário.
Na próxima etapa do processo de inicialização, o trojan criará um timer com um valor aleatório que varia entre 900 e 1.800 segundos. Quando disparado, este cronômetro iniciará um WebView que é carregado a partir do URL hxxp: // sub1 [.] Tdsworker [.] Ru: 6565 / index_main.html. Este WebView irá injetar um montante de 500, que, dado o perfil da vítima, é seguro assumir que haverá escombros.
A sobreposição cobrirá completamente a tela, o que, dependendo do dispositivo, pode tornar o dispositivo móvel inutilizável até a reinicialização ou o WebView é fechado. O código WebView não pôde ser determinado porque o C2 nunca esteve on-line durante a investigação.
This WebView overlay technique is the same used by the GPlayed trojan, from the same family. However, GPlayed trojan loaded the WebView from local resources contained in the application package. In that case, the webview would request the user’s credit card information to pay for supposed “Google Services.” Given the similarities, it is safe to assume that this WebView would have same sort of objective. This change from having the WebView code hosted in the C2 or having it as a resource on the package shows that the authors want to remain independent from the C2.
Depois que o malware cria o WebView, ele envia um SMS para o serviço Sberbank AutoPay (+79262000900) com a palavra “баланс”, que significa “equilíbrio” em russo. Ao receber uma resposta, o trojan irá analisá-lo para determinar o saldo da conta. Se for menor que 3.000, o trojan não fará nada. Se for maior que 68.000, o trojan solicita um valor de 66.000, caso contrário, solicitará o valor disponível menos 1.000.
Finalmente, com o valor disponível determinado, o trojan criará um novo objeto WebView e solicitará o valor definido de acordo com as regras mostradas anteriormente.
Para concluir transações financeiras, é necessário um código de validação. Portanto, a ação a seguir é o registro de um gerenciador de SMS que analisará todas as mensagens SMS que chegam e procurará a palavra “пароль”, que significa “senha” em russo. O malware analisa o SMS contendo essa palavra para extrair a senha, que será então injetada no WebView criado anteriormente. Acreditamos que esse malware seja especificamente projetado para evitar o mecanismo antifraude do 3-D Secure, pois ele injeta uma variável chamada “s3dscode” com o valor extraído para o objeto WebView. A senha é, na verdade, o código de validação necessário para validar a transação.
O manipulador do receptor SMS, além de analisar o código de validação segura em 3-D, também enviará todos os SMSs para o C2.
Os SMSs são exfiltrados usando uma solicitação GET simples para a URL baseada em REST hxxp: // sub1 [.] Tdsworker [.] Ru: 5555 / sms / “, o formato desta solicitação é o seguinte:
<URL> <id do dispositivo> / <endereço do remetente> / <conteúdo da mensagem>
Atividade Trojan
Este trojan não foi observado ainda em estado selvagem, e não está sendo detectado por muitos programas antivírus no momento desta publicação. No entanto, as amostras foram submetidas à análise de detecção quase na mesma semana em que Talos descobriu o malware. Assim como no caso de trojan GPlayed, o método de verificação de detecção de proporção era o mesmo. Primeiro, o pacote foi enviado seguido pela DLL que contém o código. No caso da DLL, o GPlayed e este exemplo compartilham uma das fontes de envio, reforçando ainda mais o vínculo entre os dois. Dada a arquitetura, organização e maturidade do código, a relação mais provável é que este trojan bancário foi criado com base em uma versão inicial da base de código de trojan GPlayed, pelo mesmo autor (es), dado que eles também compartilham um C2.
Assim como o GPlayed, o C2 nunca esteve on-line durante nossa pesquisa, mas seria fácil adaptar esse trojan a um novo C2. Portanto, não sabemos o que foi exibido na etapa WebView mencionada anteriormente. O arquivo de ícone usado por ambas as famílias de malware é o mesmo, o que pode ser considerado outro link entre os pacotes.
Conclusão
Este trojan foi concebido com um grupo muito específico de vítimas em mente, ou seja, os clientes do Sberbank que usam o serviço AutoPay. No entanto, adaptá-lo para caber em outros bancos seria uma atividade trivial para os desenvolvedores da família de malware GPlayed.
Essa família de malware é apenas mais um exemplo do motivo pelo qual os usuários de dispositivos móveis precisam criticar as permissões que aceitam para determinados aplicativos. Não há nenhuma exploração específica que a família GPlayed usa para infectar suas vítimas – ela pode ser instalada em um dispositivo apenas por meio de uma simples campanha de spam. Os usuários do Android precisam estar cientes de dois pontos importantes: ao instalar aplicativos de lojas de aplicativos não confiáveis, eles estão colocando a si próprios e seus dados em risco. Além disso, conceder as permissões erradas pode fazer a diferença entre um malware e um aplicativo legítimo. Os usuários não podem confiar nas justificativas das permissões, como são fornecidas pelo desenvolvedor, devem ser críticos sobre as permissões e atribuí-las caso a caso.
A interceptação da técnica de códigos de validação SMS não é nova para trojans bancários. Mas esse trojan bancário seguido pelo trojan GPlayed mostra uma evolução clara dos atores por trás dessas famílias de malware. Eles passaram de um simples trojan bancário a um trojan completo com recursos nunca antes vistos.
As DLLs usadas no malware, que detêm a maior parte do código, têm uma baixa taxa de detecção e mostram que as soluções antivírus não estão olhando para o código em um arquivo e estão mais focadas nas permissões e nos recursos dos pacotes Android. Embora ainda não tenhamos visto esses arquivos em estado natural, eles certamente têm o potencial de infectar um grande número de usuários e podem rapidamente seqüestrar as credenciais bancárias de um usuário.
Indicadores de compromisso (COI)
URLs
hxxp: // sub1 tdsworker ru: 5555 / sms / [.] [.]
Hxxp: // sub1 tdsworker ru [.] [.]: 6565 / index_main.html
Hashes
Package.apk – 81d4f6796509a998122817aaa34e1c8c6de738e1fff5146009c07be8493f162c
PlayMarket.dll – 3c82d98f63e5894f53a5d2aa06713e9212269f5f55dcb30d78139ae9da21e212
Fonte: Talos Inteligence
