Csomagja érkezett!

Ma reggel megnyitva a Facebook-ot láttam, hogy egy ismerősöm kitette a Rendőrség által közzétett felhívást, amelyben a “Csomagja érkezett” tárgyú smsek-re hívják fel a figyelmet. Nem tűnt túl izgalmasnak a téma, így nem is nagyon foglalkoztam vele, ám elindult egy gondolat, hogy ez végre valami más téma, nem a klasszikus ELMŰ-s adathalászat.

Elkértem az sms-t, és egy link volt benne:

Megnyitva a linket, semmi nem jelent meg, így vissza is írtam, hogy hát valószínű csak infót gyűjtenek az emberekről.

Reggeli rutin szerinti megbeszélés megtörtént, aztán egyik kollégám jelezte, hogy esélyesen User Agent-et figyel a weblap, ami azt jelenti, hogy csak abban az esetben biztosít tartalmat, ha mobil eszközről nyitjuk meg magát az oldalt. Így is történt, egy APK kiterjesztésű fájl letöltése indult meg. Ötletesen Fedex.apk.

Na lássuk, mi van benne, mi az amit tudunk!

Statikus analízis:

Fejlesztőként a Tencent Technology nevű cég van megadva, amely Kína egyik legnagyobb technológiai vállalata. Lehet sokaknak ismerős a Pubg nevű játék. Igen, azt is ők gyártották.

Az alkalmazás tanúsítványa alapértelmezett értékekkel van feltöltve, kivéve az e-mail cím, amely [email protected]. Egy ilyen tanúsítványt kb 2 perc alatt lehet generálni, szóval az az email cím nem jelent jelen esetben semmi biztonságot.

A mobilos alkalmazások telepítése folyamán alkalmazás-engedélyek vannak definiálva, amelyek jelen szoftver esetén a következőek:

– android.permission.CALL_PHONE –> Igen, magáért beszél, hívásokat képes indítani a mi hozzájárulásunk nélkül(kivéve segélyhívó).
– android.permission.CHANGE_WIFI_STATE –> Wifi állapotának változtatása, jelenlegi beállítások módosítása
– android.permission.INTERNET –> Hálózati “socketeket” képes létrehozni
– android.permission.KILL_BACKGROUND_PROCESSES –> Képes folyamatokat leállítani
– android.permission.READ_CONTACTS –> Sajnos igen, hozzáfér a kontaktlistánkhoz
– android.permission.READ_PHONE_STATE –> Rengeteg eszközhöz köthető információhoz fér hozzá (szériaszám, telefonszám, stb)
– android.permission.READ_SMS –> Hozzáférés a SIM kártyán és a telefonon tárolt SMSek-hez
– android.permission.RECEIVE_SMS –> A szoftver fogadja és feldolgozza a kapott SMS-eket
– android.permission.SEND_SMS –> SMS küldésének lehetősége
– android.permission.WRITE_SMS –> Készüléken, vagy SIM kártyán tárolt SMS-ek módosítása és törlése

A fent felsorolt engedélyeken felül még van jópár, aminek engedélyezését kéri az alkalmazás. Itt fontos felhívni a figyelmet, hogy amikor egy appot telepítünk, legyen az Android vagy iOS környezet, mindig gondoljuk át, hogy indokolt-e az adott szintű hozzáférés. Pl egy zseblámpa applikációnak talán indokolatlan az sms küldés funkció.

A forráskódban megtalált magyar nyelvű mondatok utalnak arra, hogy magyar résztvevő is van a létrehozók között, mert az amúgy megszokott google-fordítós magyar nyelvezettől nagyon eltér.

Dinamikus analízis:

Telelpítsük fel ezt a csodát! Ahogy a statikus vizsgálatból is látszik, kéri az android által kritikusnak értékelt hozzáférésekhez az engedélyeket. Adjuk meg amit szeretne!

Igen, mindenképp szeretném, ha hozzáférne a névjegyeimhez!

SMS? persze vidd csak, és küldözgesd!

Csak nyugodtan!

Telepítés során semmi szokatlan dologot nem lát a felhasználó, viszont az első gyanús dolog rögtön az alkalmazás indulásakor látható:

Igen, teljesen üres az alkalmazás, semmi nem található benne. Amikor bezárod, és előkeresed a menüben, rögtön jön a következő furcsaság:

 

Duplikálva jelenik meg az alkalmazás. Ránézésre semmi eltérés nincs. Ha a jobb oldalit indítjuk el, akkor az eddigiekben már ismert üres alkalmazás jelenik meg, viszont ha az alsó, bal oldalon láthatót indítjuk, akkor további engedélykérések után lecseréli az alapértelmezett sms szoftvert a sajátjára.

Az installáció során az androidos készülék naplóállományaiban megtalálható, hogy egy dex2oat androidos eszköz segítségével egy uqILD.json nevű állományból (ez az alkalmazás telepítése során került kicsomagolásra az eszközre) patch-elést végez el.

A fent leírt állomány elérési útvonala: /data/data/com.tencent.mobileqq/app_DynamicOptDex/uqILD.json

Ez az állomány a virustotal online vírus ellenőrző szoftver által kártékony kódot tartalmaz.

 

A vizsgálat itt érhető el:

https://www.virustotal.com/gui/file/41dd1e6416de4f990cfbc24ad3d9dc6bf830d2028adff42202bc5587fbf4c668/detection

A fentiek alapján az feltételezhető, hogy banki utalások lehallgatására utazik az alkalmazás. Az SMS hozzáférésre a kétfaktoros jóváhagyások miatt van szüksége.


Köszönjük a rendőrségnek a cikket, amelyben nagyon alaposan megvizsgálták az egész esetet, nem csalódtunk!

 

Jelenleg még próbálok több információt kiszedni az alkalmazásból. Ahogy van bármi fejelemény, közzéteszem!