Спецпроекты

Check Point Research обнаружила новый троян удаленного доступа Rogue от разработчика вредоносного ПО для Android

Безопасность Пользователю

Check Point Research обнаружила в даркнете группу создателей вредоносных программ для мобильных устройств на платформе Android. Эта находка оказалась необычной даже по меркам даркнета. В подразделении было решено провести расследование с целью выяснить, кто стоит за разработкой вредоносного ПО, какие программы они производят и как им удалось создать целую бизнес-модель для продвижения своих продуктов.

Исследователи Check Point Research отследили активность злоумышленника под ником Triangulum на нескольких форумах в даркнете. Слово Triangulum в переводе с латыни означает «треугольник», и оно связано с названием одноименной галактики, которая удалена от Земли примерно на 3 млн световых лет. Галактику Треугольника трудно увидеть на ночном небе невооруженным глазом, как и обнаружить в Сети следы киберпреступника Triangulum. Но если его удалось найти, то отследить его деятельность довольно просто.

За два прошедших года Triangulum продемонстрировал впечатляющие способности к обучению. Он оценил потребности рынка, создал сеть партнерских отношений, вложил средства и распространил вредоносное ПО среди потенциальных покупателей. Triangulum впервые появился на хакерских форумах в 2017 г. С самого начала было заметно, что он обладает техническими навыками в области обратного проектирования вредоносных программ, но более тщательный анализ его дебютных работ показал, что он — разработчик-любитель.

10 июня 2017 г. Triangulum представил свою первую программу — мобильный троян удаленного доступа для атак на устройства на платформе Android, позволяющий похищать конфиденциальную информацию с помощью C&C-сервера, стирать данные на самом устройстве, а в некоторых случаях даже полностью удалять операционную систему.

Четыре месяца спустя она стала доступна для покупки. После этого Triangulum исчез из даркнета примерно на полтора года, вновь появившись 6 апреля 2019 г. с новым продуктом, готовым к продаже. С этого момента Triangulum оживился: в течение полугода он активно рекламировал свое ПО. Оказалось, что за время своего отсутствия ему удалось создать целую сеть для производства и распространения вредоносных программ.

В ходе дальнейшего расследования команде исследователей Check Point Research удалось установить, что Triangulum работал вместе с другим злоумышленником под ником HexaGoN Dev, который специализировался на разработке вредоносного ПО для Android, преимущественно троянов удаленного доступа.

Ранее Triangulum приобрел несколько проектов, созданных HeXaGoN Dev. Навыки программирования HeXaGon Dev в сочетании с успешным социальным маркетингом Triangulum стали представлять реальную угрозу. Они создали несколько вредоносных программ для Android, включая криптомайнеры, кейлоггеры и P2P-бэкдоры.

Затем Triangulum и HeXaGoN Dev объединили усилия для создания новой вредоносной программы. Rogue, относящийся к семейству мобильных троянов удаленного доступа, позволяет получать доступ к устройствам жертв, скачивать любые данные, в том числе фотографии, геолокацию, контакты и сообщения, изменять файлы на устройстве и загружать дополнительные вредоносные программы.

Получив все необходимые разрешения на смартфоне жертвы, Rogue скрывает свою иконку, чтобы пользователю было сложнее его удалить. Если разрешения не были получены, Rogue неоднократно требует их предоставить.

Затем программа регистрируется в качестве администратора устройства. Если пользователь попытается отозвать права администратора, на экране тут же появится пугающее сообщение: «Вы уверены, что хотите стереть все данные?»

Чтобы скрыть свои намерения, Rogue маскируется под официальное приложение от Google. В качестве C&C-сервера используется платформа Firebase, и все команды, управляющие вредоносным ПО, а также украденная с устройства информация доставляются с помощью инфраструктуры Firebase. Google Firebase включает в себя десятки сервисов, помогающих разработчикам создавать мобильные и веб-приложения.

Rogue использует следующие функции Firebase: Cloud Messaging для получения команд от C&C-сервера; Realtime Database для скачивания данных с устройства; Cloud Firestore для загрузки файлов на устройство.

В ходе исследования эксперты Check Point Research обнаружили полностью функционирующий рынок по продаже вредоносного мобильного ПО, процветающий в даркнете и на других тематических форумах. История трояна Rogue — пример того, как злоумышленники могут получить доступ к чужим смартфонам. Поскольку киберпреступники, такие как Triangulum, продолжают совершенствовать свое мастерство и продавать вредоносные мобильные приложения, необходимо проявлять бдительность в отношении новых угроз и понимать, как от них защититься.

Киберпреступники знают, насколько важную роль в нашей жизни играют смартфоны, и понимают ценность персональных и корпоративных данных, которые мы в них храним. Ландшафт мобильных угроз быстро развивается, а мобильные вредоносные программы представляют все более серьезную угрозу как для личной, так и корпоративной безопасности.

Векторы атак на мобильные устройства имеют свою специфику, поэтому для их эффективной защиты Check Point рекомендует соблюдать следующие правила: регулярно обновляйте операционную систему. Чтобы противостоять уязвимостям повышения привилегий, на мобильных устройствах всегда должна быть установлена последняя версия операционной системы; скачивайте приложения только из официальных магазинов приложений. Так вы снизите вероятность установки вредоносного мобильного ПО; включите возможность удаленной очистки на всех мобильных устройствах, чтобы минимизировать потери личных данных; старайтесь не пользоваться публичными сетями Wi-Fi. Публичные сети упрощают злоумышленникам получение доступа к устройству и позволяют осуществлять атаку посредника. Чтобы защититься от киберугроз, используйте только надежные мобильные и Wi-Fi сети.