Το τμήμα έρευνας της Check Point, Check Point Research (CPR) αποκαλύπτει έναν προμηθευτή κακόβουλου λογισμικού Android που χρησιμοποιεί το dark net για να επαναλανσάρει τα προϊόντα του. Ο προμηθευτής, με την ονομασία “Triangulum”, συνεργάστηκε με το “HeXaGoN Dev” για να εισάγει ένα νέο εμπορικό σήμα κακόβουλου λογισμικού που ονομάζεται Rogue, ικανό για την ανάληψη συσκευών και την υποκλοπή δεδομένων, όπως φωτογραφίες, τοποθεσία, επαφές και μηνύματα.
- Η πρώτη εμφάνιση του Triangulum ήταν το 2017, όπου ξεκίνησε ένα RAT για κινητά ικανό για εξαγωγή δεδομένων από C&C servers
- To Triangulum συνεργάστηκε με μια άλλη απειλή που ονομάζεται “HexaGoN Dev” που ειδικεύεται στην ανάπτυξη προϊόντων κακόβουλου λογισμικού για Android OS, και ιδιαίτερα RATs. Τα δύο μαζί δημιούργησαν το κακόβουλο λογισμικό Rogue
- Το κακόβουλο λογισμικό Rogue υιοθετεί τις υπηρεσίες της πλατφόρμας Firebase της Google για να αποκρύψει τις κακόβουλες προθέσεις του και να μεταμφιεσθεί ως νόμιμη υπηρεσία της Google
- Ολόκληρη σειρά προϊόντων που εισήχθη από δύο άτομα ήταν λίγο πολύ το ίδιο προϊόν που μετονομάστηκε και μεταπωλήθηκε, χωρίς σημαντικές τεχνικές αλλαγές, αλλά με πολύ διαφορετικές καμπάνιες μάρκετινγκ
Οι ερευνητές της Check Point έχουν αποκαλύψει έναν προμηθευτή κακόβουλου λογισμικού Android που χρησιμοποιεί έναν έμπορο στο dark net για να επαναλανσάρει τα προϊόντα του, με σκοπό την υπερχρέωση των επιχειρήσεων και την απομάκρυνση των προμηθευτών ασφαλείας. Ο προμηθευτής κακόβουλου λογισμικού, ο οποίος ονομάζεται “Triangulum”, εμφανίστηκε πρώτη φορά στο dark net στις αρχές του 2017. Το αρχικό προϊόν του Triangulum ήταν ένα RAT για κινητά (trojan απομακρυσμένης πρόσβασης), ικανό για την υποκλοπή δεδομένων από διακομιστές C&C και την καταστροφή τοπικών δεδομένων – ακόμη και τη διαγραφή ολόκληρων λειτουργικών συστημάτων. Τέσσερις μήνες αργότερα, το Triangulum άρχισε να διαθέτει το πρώτο του κακόβουλο λογισμικό Android προς πώληση.
Στη συνέχεια εξαφανίστηκε για σχεδόν 1,5 χρόνο, χωρίς ίχνος δραστηριότητας στο dark net. Επανεμφανίστηκε στις 6 Απριλίου 2019, με ένα νέο προϊόν προς πώληση. Στη συνέχεα το Triangulum ήταν πολύ ενεργό, διαφημίζοντας μια σειρά προϊόντων για τους επόμενους 6 μήνες. Οι ερευνητές εικάζουν ότι κατά τη διάρκεια της διακοπής του Triangulum από το dark net, αυτό δημιούργησε μια γραμμή παραγωγής υψηλής λειτουργίας για την ανάπτυξη και διανομή κακόβουλου λογισμικού Android.
Συνεργάτης στο έγκλημα
Περαιτέρω έρευνα αποκάλυψε ότι Triangulum συνεργάζεται με έναν άλλο παράγοντα απειλή που ονομάζεται “HexaGoN Dev “, ο οποίος ειδικεύεται στην ανάπτυξη προϊόντων κακόβουλου λογισμικού του Android OS, ιδιαίτερα RATs. Ο λόγος πίσω από τη συνεργασία ήταν ότι το Triangulum πάλευε να πωλήσει τα προϊόντα από μόνο του. Έτσι ένωσε τις δυνάμεις του με έναν ” underground marketing τύπο” τον HexaGoN Dev, ο οποίος τον βοήθησε να δημιουργήσει διαφορετικά brandings για ακριβώς το ίδιο προϊόν. Στο παρελθόν, το Triangulum είχε αγοράσει διάφορα projects δημιουργήματα του HeXaGoN Dev. Ο συνδυασμός των δεξιοτήτων προγραμματισμού του HeXaGon Dev και των social marketing δεξιοτήτων του Triangulum αποτελούσε σαφώς νόμιμη απειλή. Τα Triangulum και HeXaGoN Dev δημιούργησαν διέμειναν πολλαπλές παραλλαγές κακόβουλου λογισμικού για Android, συμπεριλαμβανομένων cryptominers, keyloggers και εξελιγμένα P2P (Phone to Phone) MRATs.
Rogue Malware: “Είστε σίγουροι πως επιθυμείτε να απαλειφθούν όλα τα δεδομένα; “
Τα Triangulum και HeXaGoN Dev συνεργάστηκαν για να δημιουργήσουν και να εισάγουν το κακόβουλο λογισμικό Rogue στο dark net. Το Rogue ανήκει στην οικογένεια MRAT (Mobile Remote Access Trojan). Αυτός ο τύπος κακόβουλου λογισμικού μπορεί να αποκτήσει τον έλεγχο της συσκευής και να εξαγάγει οποιοδήποτε είδος δεδομένων, όπως φωτογραφίες, τοποθεσία, επαφές και μηνύματα, να τροποποιήσει τα αρχεία σε μια συσκευή Android και να κάνει λήψη πρόσθετων κακόβουλων ωφέλιμων φορτίων. Όταν το Rogue κατακτήσει με επιτυχία όλα τα απαιτούμενα δικαιώματα στη συσκευή-στόχο, κρύβει το εικονίδιο του από τον χρήστη της συσκευής για να εξασφαλιστεί ότι δεν θα είναι εύκολο να απαλλαγεί από αυτό. Εάν δεν υποκλέψει όλα τα απαιτούμενα δικαιώματα, θα ζητήσει επανειλημμένα από το χρήστη να τα εκχωρήσει.
Στη συνέχεια, το κακόβουλο λογισμικό καταχωρείται ως διαχειριστής της συσκευής. Εάν ο χρήστης προσπαθήσει να ανακαλέσει το δικαίωμα διαχείρισης, εμφανίζεται ένα μήνυμα στην οθόνη: “Είστε βέβαιοι πως επιθυμείτε να διαγραφούν όλα τα δεδομένα; ” Το Rogue υιοθετεί τις υπηρεσίες της πλατφόρμας Firebase, μιας υπηρεσίας της Google για εφαρμογές, για να συγκαλύψει τις κακόβουλες προθέσεις του και μεταμφιέζεται σε νόμιμη υπηρεσία της. Χρησιμοποιεί τις υπηρεσίες Firebase ως έναν C&C (command and control) server, έτσι ώστε όλες οι εντολές που ελέγχουν το κακόβουλο λογισμικό, καθώς και όλες τις πληροφορίες που έχουν κλαπεί από αυτό, παραδίδονται χρησιμοποιώντας την υποδομή της Firebase.
Ο Yaniv Balmas, Head of Cyber Research at Check Point δήλωσε:
«Οι προμηθευτές κακόβουλου λογισμικού για κινητά γίνονται ολοένα και πιο πολυμήχανοι στο dark net. Η έρευνά μας δίνει μόνο μια γεύση από την τρέλα του: πώς εξελίσσεται ένα κακόβουλο λογισμικό και πόσο δύσκολο είναι να παρακολουθείται και να ταξινομείται όπως να προστατευόμαστε από αυτά με αποτελεσματικό τρόπο. Επιπλέον, υπάρχει μια συσχέτιση μεταξύ αυτής της “τρελής” underground αγοράς, και του πραγματικού κόσμου. Είναι πολύ εύκολο να διαστρεβλώσει κάποιος τα πράγματα γύρω του και να δημιουργήσει “πλαστά προϊόντα”. Αυτό δημιουργεί φυσικά πολύ θόρυβο, και το πρόβλημα είναι ότι θα μπορούσε να προκαλέσει σύγχυση στους προμηθευτές ασφαλείας. Ενώ έχουμε τρόπους για την ανίχνευση τέτοιων προβλημάτων στον πραγματικό κόσμο, η underground αγορά εξακολουθεί να είναι κατά μία έννοια σαν την άγρια δύση, γεγονός που καθιστά πολύ δύσκολο να καταλάβουμε τι είναι μια πραγματική απειλή και τι δεν είναι.
Πώς να προστατευθείτε από κακόβουλο λογισμικό για κινητά
- Ενημερώστε το λειτουργικό σας σύστημα. Οι κινητές συσκευές θα πρέπει πάντα να ενημερώνονται στην πιο πρόσφατη έκδοση του λειτουργικού συστήματος τους για να προστατεύονται από την εκμετάλλευση των ευπαθειών κλιμάκωσης δικαιωμάτων.
- Εγκαταστήστε εφαρμογές μόνο από επίσημα καταστήματα εφαρμογών. Η εγκατάσταση εφαρμογών μόνο από επίσημα καταστήματα εφαρμογών μειώνει την πιθανότητα ακούσιας εγκατάστασης κακόβουλου λογισμικού για κινητές συσκευές ή κακόβουλης εφαρμογής.
- Ενεργοποιήστε τη δυνατότητα ‘remote wipe’ σε όλες τις κινητές συσκευές. Όλες οι συσκευές θα πρέπει να έχουν ενεργοποιημένο το απομακρυσμένο σβήσιμο για να ελαχιστοποιούν την πιθανότητα απώλειας ευαίσθητων δεδομένων.
- Μην εμπιστεύεστε τα δημόσια δίκτυα Wi-Fi. Τα δημόσια δίκτυα Wi-Fi μπορούν να δώσουν σε έναν εισβολέα μια γέφυρα σε μια συσκευή, διευκολύνοντας την εκτέλεση man-in-the-middle (MitM) και άλλες επιθέσεις. Ο περιορισμός των κινητών συσκευών σε αξιόπιστα δίκτυα Wi-Fi και κινητής τηλεφωνίας μειώνει την έκθεσή τους σε απειλές στον κυβερνοχώρο.
Προϊόντα προς πώληση
ΠΡΟΙΟΝ | ΠΕΡΙΓΡΑΦΗ |
Cosmos | το αρχικό προϊόν προς πώληση από το Triangulum. Αυτό το κακόβουλο λογισμικό επιτρέπει ως επί το πλείστον ανάγνωση /γραφή για SMS, call logs, key logger και δυνατότητα screen shot |
DarkShades | το διάδοχο προϊόν του Cosmos. Περιέχει όλα τα χαρακτηριστικά του συν την ηχογράφηση και τη δυνατότητα λήψης φωτογραφιών με τη φωτογραφική μηχανή μιας συσκευής |
Rogue | το πιο πρόσφατο κακόβουλο λογισμικό που πωλείται από το Triangulum. Περιέχει όλες τις λειτουργίες DarkShades, καθώς και άλλα χαρακτηριστικά, όπως η αποστολή πλαστών ειδοποιήσεων, η εγγραφή ως προεπιλεγμένη εφαρμογή SMS και η εγγραφεί ως διαχειριστής της συσκευής. |