Mroczny rycerz atakuje. Niebezpieczne oprogramowanie wykrada pieniądze

Eksperci CERT Polska wykryli, że jedna z analizowanych aplikacji - "Aparat kosmetyczny" z ponad 100 tysiącami pobrań - została ostatnio zaktualizowana 17 września 2024 roku. Na pierwszy rzut oka aplikacja wydaje się nieszkodliwa, oferując funkcje aparatu fotograficznego z dodatkowymi opcjami upiększania zdjęć.

W toku analizy technicznej odkryto, że Android złośliwe oprogramowanie wykorzystuje zaawansowane techniki maskowania swojej obecności. Program używa specjalnych mechanizmów szyfrowania do ukrycia komunikacji z serwerami sterującymi. Zespół CERT Polska zidentyfikował, że aplikacja komunikuje się z domeną kamisatu.top, skąd pobiera dodatkowe instrukcje.

Analiza techniczna przeprowadzona przez ekspertów ujawniła, że złośliwe oprogramowanie wykorzystuje natywną bibliotekę libphotoset.so do deszyfrowania i wykonywania szkodliwego kodu. Program pobiera zaszyfrowane dane z zewnętrznego serwera, a następnie przetwarza je w sposób niewidoczny dla użytkownika.

Bezpieczeństwo aplikacji zostało skompromitowane przez szereg zaawansowanych mechanizmów. Program wykorzystuje metodę System.loadLibrary() do dynamicznego ładowania bibliotek, co pozwala na ukrycie złośliwych funkcji przed systemami bezpieczeństwa Google Play.

Szczególnie niebezpiecznym elementem działania Jokera jest zdolność do automatycznego aktywowania płatnych subskrypcji bez wiedzy użytkownika. Program wykorzystuje zaawansowane techniki do manipulacji interfejsem WebView i wykonywania skryptów JavaScript, które automatyzują proces subskrypcji.

Eksperci CERT Polska odkryli, że złośliwe oprogramowanie posiada kilka zaawansowanych funkcji. W pierwszej kolejności program identyfikuje kraj użytkownika i operatora sieci komórkowej poprzez analizę kodów MCC i MNC. Aplikacja wykorzystuje klasę TelephonyManager do pozyskania tych informacji, co pozwala jej na precyzyjne targetowanie ofiar.

Po identyfikacji operatora program przystępuje do procesu subskrypcji. Malware wykorzystuje zaawansowane mechanizmy do przechwytywania wiadomości SMS, które są niezbędne do potwierdzenia płatnych usług. Program automatycznie pobiera kody weryfikacyjne i wykorzystuje je do finalizacji transakcji.

Złośliwe oprogramowanie wykorzystuje wyrafinowane techniki ukrywania swojej aktywności. Program implementuje własne mechanizmy szyfrowania do zabezpieczenia komunikacji z serwerami sterującymi. Wykorzystuje również techniki obfuskacji kodu, co utrudnia jego analizę przez systemy bezpieczeństwa.

CERT Polska zwraca szczególną uwagę na fakt, że aplikacja wykorzystuje metodę requestNetwork z klasy ConnectivityManager do manipulacji połączeniami sieciowymi. Pozwala to na wymuszenie korzystania z transferu danych komórkowych, nawet gdy urządzenie jest podłączone do sieci Wi-Fi.

Eksperci CERT Polska wyjaśniają, dlaczego oprogramowanie jest tak groźne. Aplikacja aktywnie monitoruje i przechwytuje wiadomości SMS, wykorzystując klasę BroadcastReceiver. Program automatycznie przetwarza przechwycone wiadomości w celu finalizacji nieautoryzowanych transakcji. Szczególnie niebezpieczny jest mechanizm automatycznego przetwarzania kodów PIN otrzymywanych w wiadomościach SMS.

Oszustwo jest realizowane w sposób całkowicie zautomatyzowany, bez wiedzy użytkownika. Program wykorzystuje skomplikowane mechanizmy do weryfikacji statusu transakcji i potwierdzania subskrypcji, co sprawia, że użytkownik może nie być świadomy aktywowanych usług przez dłuższy czas.

CERT Polska rekomenduje użytkownikom systemu Android podjęcie działań zabezpieczających. Szczególną ostrożność należy zachować podczas instalacji aplikacji, nawet tych dostępnych w oficjalnym sklepie Google Play. Eksperci zalecają dokładne sprawdzanie uprawnień, jakich żąda aplikacja podczas instalacji. W przypadku aparatu fotograficznego nietypowe jest żądanie dostępu do SMS-ów czy możliwości wykonywania połączeń.

W przypadku wykrycia podejrzanej aktywności lub nieautoryzowanych transakcji, CERT Polska zaleca natychmiastowe odinstalowanie podejrzanej aplikacji i kontakt z operatorem w celu zablokowania potencjalnych subskrypcji premium.