Наши коллеги, эксперты из центра мониторинга внешних цифровых угроз Solar AURA, обнаружили фальшивый сайт, обещающий пользователям бесплатные деньги – якобы государство предлагает крупное пособие. На деле же у жертв похищают персональные данные, а их устройства заражают опасным вредоносным ПО. В этом посте мы расскажем, как устроена атака и как работает этот троянец.

Мошенническая страница-приманка


Распространение

Мы предполагаем, что исходная ссылка, скорее всего, отправлялась жертвам в рамках спам-кампаний, нацеленных на пользователей мобильных устройств, хотя и не располагаем точными данными. На первом этапе жертву заманивают на фишинговый сайт gos-uslugi[.]biz, где предлагают “оформить заявку” на получение крупного денежного пособия. Для начала процедуры нужно нажать соответствующую кнопку.

После этого мошенники перенаправляют пользователей на другую страничку, где в рамках оформления заявки предлагают ввести свои фамилию, имя, отчество, телефон и номер банковской карты.

Далее пользователь перенаправляется на новую страницу. С неё предлагается скачать “сертификат безопасности”, который на деле является вредоносным Android-приложением.

Фейковая страница с предложением установить "сертификат безопасности"

Ссылка на него ведет уже на другой домен:

https://gos-uslugi.my1.ru/gs_uslg_1_0_5[.]apk

Примечательно, что далее жертву перенаправляют по уникальной ссылке на следующий домен n0wpay[.]world, где вновь предлагают ввести персональные данные:

После отправки данных, вновь предлагают скачать тот же вредонос под видом “сертификата”. Такое дублирование функций злоумышленники могли предусмотреть на случай, если при переходе по первой серии ссылок жертва по каким-то причинам не ввела данные и не скачала троянец.



Фишинговая инфраструктура

Основной домен (gos-uslugi[.]biz) был зарегистрирован 17 апреля, вспомогательный (n0wpay[.]world) – почти на месяц раньше, 26 марта. Это нормальная практика для подобных схем: вспомогательные ресурс, как правило, живет дольше, так как обнаружить его и доказать его вредоносную составляющую весьма сложно по причине использования уникальных ссылок. Один подобный вспомогательный сайт может обслуживать несколько десятков фишинговых ресурсов.

Данный шаблон фишингового веб-сайта не попадался экспертам Solar AURA ранее, поэтому и привлек внимание. В связке с сервисами государственных услуг, как правило, используются типовые сайты, выполненные на 5-6 ходовых шаблонах. Случаи использования вредоносного ПО на таких ресурсах крайне редки, похожие инциденты фиксируются экспертами «Солара» всего несколько раз в год.

Еще одной интересной особенностью является использование в качестве хостинга для вредоноса сервиса Ucoz, базирующегося на территории Украины. Случаи использования украинских хостеров для размещения вредоносного контента, согласно накопленным экспертами данным, являются единичными. В большинстве фишинговых атак, с которыми сталкиваются эксперты Solar AURA, используются либо площадки российских хостинг-провайдеров, либо популярные европейские дата-центры.



Технические детали вредоносной программы

Эксперты Solar 4RAYS проанализировали версию вредоноса, которая раздавалась по состоянию на 18.04.24 с фишингового сайта hxxps://gos-uslugi[.]my1[.]ru/gs_uslg_1_0_5[.]apk.

MD5 0fb65633596fc25eead7403f3a345f2d
SHA1 674a183f04fdafd97cc0473e975d97e9f7969018
SHA256 d395fa73c1e6922bdb2d0ccd8fd99a4e00dfb0205b7b1bf596ad718ade510a5d
File name gs_uslg_1_0_5.apk
File type Android package (APK)
File size 706.2 kB
Packagename tplayer.updater.user.stapp4
Zip date 2024:04:12 03:28:20
C2 tinkofff[.]buzz:8080

При старте вредонос просит разрешение на автозапуск, а также чтение и отправку SMS-сообщений. Дальше показывается экран, на котором он мимикрирует под установку “государственного сертификата”. После запуска приложение сразу же начинает работать в фоне в виде сервиса и не прекращает, если из приложения выйти или нажать кнопку “закрыть сообщение”.

Через 10 секунд после первого запуска скрывает свою иконку из списка приложений.

В коде присутствует защита от реверс-инжениринга в виде обфускации строк с названием класса obfuse.NPStringFog и ключом шифрования "npmanager". Такая обфускация применялась и другими банкерами, например, Cerberus.

Алгоритм шифрования строк

Для связи с управляющим сервером вредонос отправляет GET-запрос, передавая множество данных в параметрах URL:

hxxp://tinkofff[.]buzz:8080?constructorId=7859814&model=&manf=&release=&id=&hash=NULL

Среди них – constructorId и hash, значения которых зашиты в приложении. Параметр hash всегда принимает значение NULL, хотя по коду он зависит от отдельной переменной в конфигурации, а вот constructorId может отличаться в разных сэмплах. Мы нашли следующие два значения: 785, 7859814. Остальные параметры, включая model, manf, release, id уже заполняются в runtime и зависят от самой сборки приложения и от технических данных зараженного девайса.

Основной функционал вредоноса лимитирован несколькими командами: читать и отправлять SMS-сообщения, а также прекратить свою работу по команде с управляющего сервера. Однако этого функционала вкупе с введенными на фишинговом сайте данными вполне достаточно, чтобы скомпрометировать банковский аккаунт жертвы.

На фишинговом сайте жертва оставляет достаточное количество персональных данных, чтобы авторизоваться в ее личном кабинете онлайн-банкинга по коду из SMS. Также нельзя исключать и вариант, при котором троян будет использоваться для вывода средств жертвы через SMS-банкинг, такая схема была очень популярна в прошлом среди Android-вредоносов.

История банковских Android-ботнетов ранних лет свидетельствует о том, что, используя лишь функционала приема и отправки SMS, можно выстроить крупную бот-сеть и даже снимать с нее метрики. Например, при помощи SMS-сообщения можно автоматически запрашивать баланс по счету и передать эти сведения в командный центр ботнета, где оператором отбираются самые перспективные для дальнейшей атаки жертвы.

Во время нашего исследования на сайте gos-uslugi[.]biz обновилась ссылка на вредоносный файл. С 23 апреля с сайта стала раздаваться новая версия, которая имеет немного расширенный функционал, способствующий сокрытию от обнаружения при помощи нативной библиотеки SandHook, например, присутствует фильтрация и искажение полученных выходных данных в перехваченных функциях. Также изменено имя пакета: uslugi.gos.app.body.

MD5 4e482b519903c8efa713c8da8876ddab
SHA1 4f86a732f8ff7bfbdefc9a2331570d904787744e
SHA256 08b3bc473abdb3835c29765cf643e024b64ce817d239b42c48ab1bf3605c72e1
File name gs_usgi_3_0_3.apk
File type Android package (APK)
File size 1.4 MB
Packagename uslugi.gos.app.body
Zip date 2024:04:18 22:57:56
C2 tinkofff[.]buzz:8080


Другие образцы

Помимо образцов, участвовавших во вредоносной кампании, обнаруженной экспертами Solar AURA, специалистам Solar 4RAYS удалось найти в открытых источниках ещё пять сэмплов и два новых адреса управления. Все эти сэмплы очень схожи в структуре кода, способе закрепления, хранимых константах и способе взаимодействия с C2.

Два из них имели иное название APK-файла: TK_ANTISPAM. Судя по Zip modify date, эти сэмплы старше и, вероятно, использовались в другой вредоносной кампании. Другие три образца из найденных нами в открытых источниках похожи на два исходных сэмпла тематикой мимикрии — “установка государственных сертификатов”. Два наиболее свежих из них также содержали нативную библиотеку для перехвата вызова java-функций, что затрудняет защитным программам и аналитикам обнаружение вредоноса на устройстве.

На основе анализа обнаруженных сэмплов мы получили представление о хронологии вредоносной кампании.

Основываясь на метаданных найденных нами APK-файлов, можно предположить, что кампания началась 28 марта, когда троянец распространялся под видом программы защиты от спама. Как можно увидеть, интерфейс программы внешне похож на интерфейс предыдущего экземпляра ВПО, но теперь с установкой под видом госсертификата.

Следующий аналогичный сэмпл был скомпилирован 30 марта.

Первую версию, мимикрирущую под установку государственных сертификатов, собрали 9 апреля и функционально она практически не отличалась от предыдущей. Далее, в версии от 12 апреля, был изменен адрес управляющего сервера с IP-адреса 185[.]140[.]211[.]15 на домен tinkofff[.]buzz, зарегистрированный 22 декабря 2023 года, который в последующих версиях уже не менялся.

Через 6 дней, 18 апреля были собраны три новых APK, нацеленных на более скрытое присутствие вредоноса на девайсе жертвы. Последний обнаруженный на данный момент образец распространялся через поддельную страницу, с которой началось наше расследование.



Заключение

Благодаря быстрому реагированию нашей команды на обнаруженный фишинг нам удалось своевременно заблокировать вредоносные домены. А проведенное дополнительное расследование помогло выявить новые C2 и понять логику развития фишинговой кампании.

Как и в случае с другими подобными кампаниями, расчёт злоумышленников прост: заманить жертву обещанием высокого дохода и обманом получить доступ к данным, необходимым для доступа к финансовым активам пользователя.

Мы рекомендуем пользователям не переходить по ссылкам, обещающим бесплатные деньги (и другие ценности), не вводить персональные данные на подозрительных сайтах, не скачивать незнакомые файлы из недоверенных источников и пользоваться защитным ПО.



IOCs

File hashes

a784a5b612b21282c7f6304b613cda446a3eaba89f0bde646d133fa89e36d648
9083522bbeb762141bc90d67fac29418ab35c201bba411a9e3a2e9a9d0cd7d7d
b47fa1a9cd4827304b18a0f0431b3ed742d8f9a25c4b14b46ce989f1670ca39a
d395fa73c1e6922bdb2d0ccd8fd99a4e00dfb0205b7b1bf596ad718ade510a5d
fa03353ea227d89a8e4e770bfa3dd5ad902704c3e1b3105241771d12c1053b98
08b3bc473abdb3835c29765cf643e024b64ce817d239b42c48ab1bf3605c72e1
2029aae8f8f7050bcc2d81053f49eea6d6d20eb0444aa918fa6a56ba81e8750d

С2

93[.]183[.]75[.]49:1127
185[.]140[.]211[.]15:8080
tinkofff[.]buzz:8080

Distribution

gos-uslugi[.]biz
n0wpay[.]world
gos-uslugi[.]my1[.]ru
hxxps://gos-uslugi[.]my1[.]ru/gs_uslg_1_0_5.apk
hxxps://gos-uslugi[.]my1[.]ru/gs_usgi_3_0_3.apk
hxxps://gos-uslugi[.]my1[.]ru/gs_usg_3_1_0_1.apk