Malware na Windows i Android w jednej kampanii

Data publikacji: 22/05/2015, Łukasz Siewierski

loveletter1W dniu 7 maja 2015 zaobserwowaliśmy kolejną kampanię mailową, w której atakujący używał loga i nazwy Poczty Polskiej. Maile rzekomo miały informować o nieodebranej paczce, ale w rzeczywistości zawierały link, który po wielu przekierowaniach doprowadzał do pliku exe bądź apk (w zależności od używanej przeglądarki). Poniżej prezentujemy dokładną analizę zagrożenia zarówno na systemy Windows jak i Android.

 

Wiadomości były podobne do tej przedstawionej poniżej.

poczta_polska_mail

Ransomware na systemy Windows

Jeśli używaliśmy przeglądarki internetowej w systemie MS Windows to zobaczyliśmy stronę informującą o potrzebie wpisania kodu CAPTCHA i, po jego wprowadzeniu, pobierany był plik EXE. Strona taka prosiła o pobranie pliku „PDF” (który tak naprawdę był plikiem wykonywalnym) i uruchomienie go na komputerze, a następnie zaniesienie wydrukowanej wersji do punktu odbioru przesyłek (strona przedstawiona poniżej). W rzeczywistości pobrany plik to malware o nazwie TorrentLocker, który szyfrował pliki z naszego dysku i żądał okupu za ich odszyfrowanie.

poczta-polska-screen1

Po uruchomieniu programu wyświetlane jest okno zaprezentowane poniżej. Łamaną polszczyzną informuje ono o blokadzie komputera oraz o tym, że na stronie internetowej cyberprzestępców można zakupić program służący do odszyfrowania plików. Program ten kupuje się za pomocą strony internetowej w sieci Tor, w domenie .onion.

Aby zapłacić za program trzeba użyć waluty Bitcoin, w przypadku analizowanej próbki kwota, której żądali przestępcy to 1.47546 (ok. 1200 PLN). W przypadku, gdy zdecydujemy się program deszyfrujący później niż po 96 godzinach (4 dniach) to będziemy musieli uiścić dwa razy wyższą opłatę.

poczta-polska-crypto-blocked

Bardzo dobry i dokładny opis tego typu zagrożenia opublikowała w raporcie wydanym pod koniec roku 2014 firma ESET (język angielski).

Wersja na systemy Android

Jeśli weszliśmy na wspomnianą we wstępie stronę za pomocą przeglądarki z systemu Android to zobaczyliśmy stronę zachęcającą nas do instalacji aplikacji przeznaczonej na ten system. W tym przypadku podany powód był taki sam jak przy aplikacji na systemy z rodziny Windows: trzeba zainstalować dodatkową aplikację, aby śledzić losy przesyłki.

Aplikacja przeznaczona na systemy Android potrafi obsługiwać następujące komendy otrzymywane przez SMS. Format komend jest następujący:

::[: ... :]

Komendy muszą pochodzić z predefiniowanego numeru. Niektóre z typów komend zostały podane niżej.

  • set_admin – zmiana numeru, z którego mają przychodzić komendy.
  • send_sms – wysłanie wiadomości SMS pod określony numer (używane np. do SMSów Premium)
  • send_fake – tworzenie wiadomości SMS, która jest „fałszywa” – nie przyszła od operatora, tylko została stworzona przez malware.
  • set_url – zapisanie nowego URL serwera C&C.
  • wipe – wykonanie przywrócenia do ustawień fabrycznych. Na czas przywrócenia do ustawień fabrycznych ekran jest zablokowany z hasłem 12345.
  • get_ussd – wykonanie kodu USSD (sprawdzenie stanu konta telefonów prepaid).

Aplikacja potrafi również przekazywać wszystkie otrzymane wiadomości SMS na inny numer. Jeśli wiadomości przychodzą z numeru „administracyjnego” to jest wyciszany dźwięk, przez co użytkownik nie słyszy, że otrzymał wiadomość.

Aplikacja także w dosyć ciekawy sposób próbuje odzyskać uprawnienia administratora urządzenia. Jeśli użytkownik spróbuje wyłączyć aplikację z listy administratorów to uporczywie wyświetla ona okno z prośbą o nadanie tych uprawnień. Tak długo aż użytkownik, z irytacji, przywróci te uprawnienia.

Dodatkowo malware wykorzystuje technikę „Application overlay” – wyświetlanie okna z pytaniem o login i hasło nad oknem innej aplikacji. Gdy użytkownik uruchomi na przykład aplikację GMail to malware wykrywa fakt, że znajduje się ona na pierwszym planie i wyświetla, niejako „nad nią”, monit z prośbą o podanie loginu i hasła. Widać to dokładnie na poniższym filmie. Warto zwrócić uwagę na drobną przerwę między wyświetleniem okna aplikacji a wyświetleniem monitu z prośbą o podanie loginu i hasła.

Jeśli telefon ma ustawiony język polski, to wyświetlany jest komunikat w języku polskim. W przypadku popularnych polskich aplikacji bankowych komunikat ten jest dodatkowo opatrzony logiem odpowiedniego banku, przez co użytkownik może być bardziej chętny, żeby „oddać” swoje dane. W przypadku Google Play wyświetlane jest okno z prośbą o podanie numeru i danych karty kredytowej. W ten sposób przestępcy uzyskują również dane kart, które potem mogą wykorzystać do kradzieży lub odsprzedać.

Warto zauważyć, że w przypadku tego ataku przestępcy przejmują kontrolę nad telefonem ofiary – więc mają dostęp do ich haseł jednorazowych – oraz, dzięki atakowi socjotechnicznemu, mają login i hasło ofiary. Zatem za pomocą ataku wyłącznie na telefon (z pominięciem komputera, tak jak we wcześniejszych przypadkach) uzyskują możliwość wykradnięcia środków z kont ofiar.

Podsumowanie

Widać, że wieloplatformowość złośliwego oprogramowania staje się coraz bardziej popularna. Z jednej strony zwiększa to zasięg działalności danej grupy przestępczej, z drugiej strony jednak stanowi pewnego rodzaju ciężar dla osób zarządzających złośliwym oprogramowaniem. Takie podejście, szczególnie w przypadku złośliwego oprogramowania przesyłanego jako linki w wiadomościach e-mail, może przynieść duży sukces, gdyż coraz więcej użytkowników odczytuje wiadomości na urządzeniach mobilnych.

Sumy MD5 badanych plików

 

0a145f307310e3a653e75345196385b6 Poczta_Polska.apk   (Android)
e83d83761416742ab69baf379f2b34dd ransom.exe          (Windows)