Всем привет! Меня зовут Сережа Куценко, я ведущий эксперт направления защиты ИТ-инфраструктуры в К2 Кибербезопасность. Уже многие видели предупреждения о новом троянце Mamont, с которым злоумышленники нацелились на персданные и денежные средства российских пользователей Android. Недавно нашему системному инженеру Максиму Гусеву «посчастливилось» познакомиться с новой схемой на практике. Незнакомый аккаунт отправил ему в телегу вредоносный .apk. Мой коллега, конечно же, сразу понял, что это мошенники. В итоге он детально изучил возможности вредоносного файла и подготовил текст с подробным описанием своего расследования. Его вы и найдете под катом.

Немного предыстории о Mamont 

Первые сообщения о Mamont появились в конце прошлого года. Известно, что новая схема мошенников на данный момент нацелена именно на пользователей Android-смартфонов в России. Главная цель — заставить человека установить на свое мобильное устройство вредоносный файл. Он поможет владельцам троянца получить доступ к данным и приложениям, в частности к банковским, увидеть баланс и перевести денежные средства на другой счет. Приложение устанавливает сервисы, которые позволяют без ведома жертвы совершать большой набор действий, например, изменять иконку приложения на прозрачную и спрятать его; пересылать злоумышленникам все входящие СМС за последнее время; отправлять СМС на произвольный номер; открывать форму для загрузки фотографий из галереи на сервер мошенников и т.д.

На данный момент известны две основные схемы распространения троянца: 

1. Трекер онлайн-заказа. Мошенники создают сайт несуществующего интернет-магазина с очень дешевыми товарами и оплатой при получении. После оформления заказа человеку отправляют вредоносный файл в закрытом телеграм-канале магазина. Файл преподносится как трекер заказа. Его просят установить для проверки статуса доставки.

2. Сообщения от незнакомых аккаунтов с сообщением а-ля «Это твои фото/видео?» и прикрепленным вредоносным файлом. Это более простая механика, которая рассчитана на любопытство пользователя, который захочет проверить, действительно ли это его фото.

Именно со вторым кейсом я и столкнулся.

«Привет! Это твои фотки?»

Морозным пятничным вечером мне в телеграм прилетело сообщение от незнакомого аккаунта: «Привет! Это твои фотки?». К сообщению был прикреплен файл «Photo.apk». Как человек из кибербезопасности, я сразу понял, что это какой-то развод. 

Я скачал файл и установил на виртуальной машине с операционной системой Android, чтобы поглубже изучить «архив с фото». Для эмулирования операционной системы я использовал MuMu Player 12.

После успешной установки приложения я разрешил запрошенные им права и доступы. 

В итоге открылся сайт знакомств Mamba — вроде бы ничего интересного. Но, уже почитав о новой схеме, я захотел разобраться и детально проверить файл. 

Инструменты кибердетектива

Для анализа данного файла я решил остановиться на следующих утилитах и сервисах:

• PCAPdroid — аналог wireshark для Android — приложение, которое позволяет отслеживать, анализировать и блокировать соединения, установленные другими приложениями на вашем устройстве;

• APK Analyzer — предоставляет информацию о составе APK после завершения процесса сборки, позволяет сравнивать различия между двумя .apk;

• Tria.ge — платформа для быстрого анализа и классификации вредоносных программ, а также автоматизированного тестирования подозрительных файлов;

• VirusTotal — бесплатная служба для анализа подозрительных файлов и ссылок (URL) на наличие вирусов, червей, троянов и всевозможных вредоносных программ;

• Jadx — инструмент для декомпиляции Android-приложений, который преобразует байт-код скомпилированных APK и DEX файлов обратно в читаемый исходный код на Java. Этот инструмент часто используется разработчиками и исследователями для анализа и отладки приложений, чтобы лучше понять их внутреннюю структуру и работу.

Расследование

Шаг 1. Сначала я установил приложение для снятия трафика PCAPdroid и получил подробную информацию об установленных нашим вредоносным .apk соединениях — протоколах, портах и IP-адресах. 

Исходя из анализа трафика я увидел, что внутри приложения происходит соединение с неким IP-адресом 5.9.230.13. Это вызывает подозрение, потому что в качестве источника указан IP, а не DNS-имя. Также отмечу, что используются нестандартные порты: 330, 332, 334, 336, 338, 340, 342, 344.

Зайдя в одно из HTTP-сообщений я увидел, что отправлен POST-запрос, а также передаются «странные» данные в JSON-формате.

Шаг 2. Далее с помощью APK Analyzer я посмотрел, какие сервисы Photo.apk устанавливает на ОС. Сервис представляет собой элемент приложения, способный работать в любых обстоятельствах, включая ситуации, когда экран выключен. Он может функционировать самостоятельно, без необходимости в ыосновном приложении.

APK Analyzer показал, что установлены сервисы SmsService и PushListnerService с разрешением на перехват и отправку СМС-сообщений и PUSH-уведомлений.

Шаг 3. Затем я закинул файл Photo.apk в песочницу Tria.ge для прверки файла при помощи статического и динамического анализа. Итог — уровень вредоносности в статике — 6 из 10, в динамике — 7 из 10.

Раскрыв подробную информацию о проверке, я обнаружил POST-запросы (как описывал выше при анализе пакетов из PCAPdroid) предположительно на немецкий IP-адрес, а также различные гугловые DNS-запросы.

Tria.ge сразу раскладывает обнаруженную подозрительную активность и сигнатуры по матрице Mittre Att&ck Mobile.

Mittre Att&ck Mobile — это часть фреймворка Mittre Att&ck, разработанная специально для мобильной безопасности. Она предоставляет подробную таксономию и описание тактик, техник и процедур (TTPs), используемых злоумышленниками для атаки на мобильные устройства и платформы.

По матрице видим следующие техники атак:

• System Checks T1633 — для доступа к информации о конфигурации системы, ее спецификациях или состоянии для бОльшей эффективности своих вредоносных действий. Злоумышленники могут, например, проверять уровень батареи, наличие ROOT/ADB-доступа, состояние сети и другие системные параметры для адаптации своего подхода к управлению устройством и затруднения обнаружения вредоносной активности. 

• Clipboard Data T1414 — для доступа к содержимому буфера обмена на мобильных устройствах. Похищенная информация может включать в себя скопированные пароли, текстовые сообщения и другие чувствительные данные, которые временно попадают в буфер обмена. 

• System Information Discovery T1426 — для сбора различной информации о конфигурации и характеристиках мобильного устройства. Злоумышленники могут собирать данные о версии ОС, модели устройства, статусе батареи и других системных параметрах. 

• Data Encrypted for Impact T1471 — для шифрования хранящихся на мобильном устройстве файлов, чтобы запретить пользователю к ним доступ.

• Data Manipulation T1641 — для модификации файлов с разными целями: дезинформация пользователя, сокрытие других действий, подготовка к дальнейшим атакам и т.д.

Стоит отметить, что проверка в песочнице не дает полную картину по всем техникам и тактикам, которые реализуются вредоносным приложением. Причина — на ОС в песочнице не установлены пользовательские приложения, которыми мы регулярно пользуемся (мессенджеры, банковские приложения и т.д.). Также нельзя отправить или получить СМС.

Результат проверки на VirusTotal — 12 движков из 63 представленных. Это оценка подтверждает, что это вредонос. Файл был отмечен как банковский троян и SMS RAT (Remote Access Trojan).

Шаг 4. Для декомпиляции apk-файла я использовал Jadx-gui.

Jadx декомпилировал dex-файлы скомпилированного Java-кода внутри архива .apk, что позволило мне проанализировать исходный код приложения.

Первым делом я нашел IP-адрес потенциального C2-сервера, о котором я упоминал ранее (5.9.230.13). Нашел я его внутри класса NetworkClientKt, который отвечает за отправку событий (EVENT_HOSTS) и данных (DATA_HOSTS) на C2-сервер. Причем события и данные отправляются на разные порты.

Для анализа кода, который я получил с помощью Jadx, я установил IDE для разработки под Android — Android Studio.

Открыв код, увидел папки внутри каталога core. Каждый каталог отвечает за определенную функцию:

• banks — получение данных о балансе и перевод средств на кошелек злоумышленника;

• alarm — установка будильника на срабатывание в произвольное время;

• clipboard — передача буфера обмена на C2-сервер;

• telephony — перехват и осуществление звонков;

• SMSActivity — перехват и отправка СМС на C2-сервер.

Модульная архитектура данного приложения позволяет злоумышленнику собирать его буквально по кубикам, каждый из которых реализует свою вредоносную активность.

Тест установки вредоноса на реальный смартфон

В конце расследования я решил все-таки установить файл на реальный смартфон и посмотреть на реакцию Android.

При попытке установки появилось уведомление, что загрузка apk-файлов из сторонних источников запрещена, но его можно отключить в настройках телефона.

Даже в случае, если мы разрешим установку приложений из сторонних источников, Google Play Защита не даст нам просто так загрузить подобный софт. Отключение Google Play Защиты производится в настройках Google Play. Только после проделанных манипуляций можно будет установить стороннее приложение на смартфон.

Далее я решил проверить реакцию мобильного антивируса на наш .apk. Я установил KES for Android от «Лаборатории Касперского». Итог — помогло,  вредоносный файл был сразу же заблокирован при скачивании и детектирован как Trojan-Banker.AndroidOS.Mamont.bc.

Заключение

Итог расследования — Mamont действительно опасен, т.к. с его помощью можно не просто получить доступ к личным данным, но и модифицировать информацию и управлять приложениями в смартфоне. Добраться до денежных средств будет не сложно. Сами схемы, которые мотивируют пользователей самостоятельно установить вредоносный файл, — весьма рабочие. В данном кейсе мне, как безопаснику, было легко уловить мотивы и распознать злоумышленников. Но я прекрасно могу понять эффективность их психологического подхода. Когда тебе присылают архив с указанием на то, что в нем твои фото/видео, сложно не поддаться любопытству. Не говоря уже о механике с поддельными трекерами онлайн-заказов.

Схемы мошенников становятся все изощреннее, но защитить себя не так трудно, если помнить о базовых рекомендациях — загружать приложения только из официальных источников и не переходить по ссылкам/не скачивать файлы от незнакомых людей. Ну и, конечно, не пренебрегайте защитой ваших смартфонов и планшетов. Надежный антивирус должен быть не только на ПК.