CEBRF

Złośliwe oprogramowanie Hydra - analiza kampanii mailowej z wykorzystaniem wizerunku ING

Cyberprzestępcy rozsyłają fałszywe wiadomości email z informacją o rzekomym zablokowaniu konta bankowego oraz konieczności zainstalowania aplikacji mobilnej na telefonie komórkowym. Link z wiadomości prowadzi do strony wyłudzającej dane logowania. W dalszych krokach na stronie wyświetla się kod QR lub przycisk z linkiem prowadzącym do pobrania złośliwej aplikacji. 

 

 

 

Pierwszy etap oszustwa polega na wyłudzeniu danych logowania do bankowości elektronicznej Banku ING:

 

 

W kolejnym kroku ofiara proszona jest o zainstalowanie aplikacji mobilnej (w rzeczywistości jest to złośliwe oprogramowanie Hydra). Instalacja grozi zainfekowaniem telefonu i stwarza ryzyko utraty środków finansowych.

 

Strona wyświetlana podczas korzystania z komputera (przestępcy wykorzystują kod QR prowadzący do pobrania fałszywej aplikacji):

 

Strona wyświetlana w przypadku urządzeń mobilnych:

 

 

 

Pobrany plik to ING Bezpieczeństwo.apk  (MD5: 0c91caf7d07defc7e4bbfc68dc4e8fa5, T1476, T1444 – w nawiasach będą wskazane techniki pochodzące z framework’u MITRE ATT@CK Mobile https://attack.mitre.org/matrices/mobile/). Po zainstalowaniu na urządzeniu działającej pod platformą Android aplikacji, wymaga ona od użytkownika nadania uprawnień do funkcji Dostępność/Ułatwienia dostępu (T1453), czego następstwem jest ich eskalacja. W tym scenariuszu niebezpieczna aplikacja będzie mogła symulować kliknięcia na ekranie np. podczas akceptowania kolejnych uprawnień, których zażąda. W pliku , które aplikacja będzie mogła potencjalnie otrzymać:

 

 

Wybrane uprawnienia zdefiniowane w AndroidManifest:

android.permission.ACCESS_NOTIFICATION_POLICY – dostęp i zarządzanie powiadomieniami (T1517);

android.permission.ACTION_MANAGE_OVERLAY_PERMISSION – możliwość wyświetlania okien nad innymi aplikacjami (T1417, T1417.002);

android.permission.CALL_PHONE – wykonywanie połączeń głosowych (T1616);

android.permission.CAPTURE_VIDEO_OUTPUT – przechwytywanie obrazu z kamery (T1512);

android.permission.GET_TASKS – uruchomione zadania na urządzeniu (T1603);

android.permission.QUERY_ALL_PACKAGES – zainstalowane aplikacje (T1418);

android.permission.READ_CONTACTS – dostęp do kontaktów (T1512)

android.permission.READ_PHONE_NUMBERS – odczytanie numeru telefonu  (T1426);

android.permission.READ_SMS,android.permission.RECEIVE_SMS,android.permission.WRITE_SMS,android.permission.SEND_SMS - uprawnienia zezwalające na pełną obsługę wiadomości tekstowych (T1582);

android.permission.SYSTEM_ALERT_WINDOW – uprawnienie pozwalające na wyświetlanie okien nad aplikacjami (T1417, T1417.002).

Payload oraz Inject

Aplikacja po zainstalowaniu i nadaniu uprawnień, za pomocą metody DexClassLoader (metoda ta pozwala na wczytanie do aplikacji dodatkowego pliku classes.dex, który zawiera dalszy kod aplikacji T1631) wczytuje wcześniej odszyfrowany plik tHfH.json, który znajdował się w folderze assets.

W załadowanym pliku .dex znajduje się właściwy payload złośliwego oprogramowania, który nawiązuje komunikację z serwerem Command & Control (C2). W tym przypadku jest to usługa działająca pod adresem hxxp[:]//uadzwag[.]com (T1435, T1646).  Przechwycenie komunikacji oraz jej analiza wskazują, że złośliwe oprogramowanie wymienia informacje z serwerem zarządzającym na temat zainstalowanych na urządzeniu aplikacji. Malware pobiera z serwera injecty - jest to forma nakładek wyświetlanych na telefonie, imitujących i zasłaniających okienko prawdziwej aplikacji. Użytkownik wpisując poświadczenia, wprowadza je w formularzu przygotowanym przez przestępców, co stwarza ryzyko ich nieautoryzowanego przejęcia. W dalszej części ataku pobrane injecty mogą służyć potencjalnemu pobieraniu poświadczeń używanych w aplikacjach bankowości mobilnej lub aplikacjach użytkowych. W pobranym w trakcie naszej analizy archiwum z injectami nie odnaleźliśmy nakładek na polskie wersje aplikacji bankowych. W rozpakowanym katalogu icons obecne były natomiast pliki ikon niektórych polskich aplikacji.

 

Katalog icons zawierał między innymi poniższe ikony:

 

W kodzie aplikacji była również zdefiniowana jej konfiguracja:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

W kodzie aplikacji odnaleziono fragmenty, które mogą wskazywać na weryfikację czy urządzenie na którym jest uruchomiona nie jest środowiskiem wirtualnym (z którego często korzystają osoby zajmujące się analizą złośliwego oprogramowania), między innymi poprzez sprawdzenie zmiennych charakterystycznych dla emulatorów (np. Genymotion - T1633), ale również czy urządzenie nie ma ustawionej lokalizacji (język systemu, układ klawiatury - T1426) przypisanej do Rosji lub Ukrainy, co sugeruje że na urządzeniach tych użytkowników atak nie zostanie sfinalizowany mimo infekcji.

W kodzie znajdujemy również odniesienia do popularnej aplikacji zdalnego zarządzania urządzeniami TeamViewer (T1513), co może sugerować dodatkowe wektory ataku.

Podczas naszej analizy dynamicznej nie zauważyliśmy wykorzystania tej funkcjonalności.

 

Powyższe implementacje technik, konfiguracja oraz użyta infrastruktura wskazują na użycie złośliwego oprogramowania z rodziny BianLian (zwanego również Hydra), którego działanie prezentowaliśmy w materiale wideo: https://www.youtube.com/watch?v=_JqohC3jaaY .

BianLian zamodelowany w MITRE ATT&CK Mobile (https://attack.mitre.org/matrices/mobile/):

 

 W trakcie przeprowadzanej analizy, adres C2 wskazywał na IP: 213[.]226[.]123[.]27.

Nasz zespół zidentyfikował również inne fałszywe aplikacje łączące się z ww. adresem IP. Aplikacje komunikujące się z tą infrastrukturą podszywają się pod ING Bank Śląski oraz bankowość mobilną austriackiego Banku BAWAG.

 

 

 

Całość kampanii zamodelowana we framework’u STIX. Model przedstawia kampanię, jej elementy, techniki oraz indykatory, co pozwala korelować pozyskane informacje w sposób ustrukturyzowanyi przedstawić je w formie wizualnej.

 

 

TTP:

 

T1476                                                  T1603    

T1444                                                  T1418

T1453                                                  T1426

T1517                                                  T1582

T1417                                                  T1631

T1417.002                                            T1435

T1616                                                 T1646

T1512                                                 T1633

                                                          T1513

              

 

IoC:

208.91.197[.]91

ING-BEZPIECZENSTWO[.]COM

pl-id19hqab18abh1vghja7891g[.]com

pl-id18ha7u1vaoi1batz178dzhr[.]com

 

185.193.89[.]24

ING-BEZPIECZENSTWO[.]COM

login-ingbank.pl-id19hqab18abh1vghja7891g[.]com

login-ingbank.pl-id18ha7u1vaoi1batz178dzhr[.]com

 

ING Bezpieczeństwo.apk

Md5: 0c91caf7d07defc7e4bbfc68dc4e8fa5

Sha1: 38e550f5bec5a3d2b1caf0afb2c5269c078a00f0

Sha256: a9bf062bb481c9b2d4c28ed267488d45f142eac40505ec4d11ab99da0cc78aff

c2: uadzwag[.]com

ip: 213.226.123[.]27

 

ING Security.apk

Md5: 4cd0cc95faf2772c3e32a9129552c47a

Sha1: af66358feb17a0c10c4277ec01c9b7d6636a0a8c

Sha256: 9ed556568c429c702d52c8741b00cbf0bb4011eacaa232ff259c36c7d89881b5

c2:rjuajsuiqjfa.biz