Специалисты «Доктор Веб» https://news.drweb.ru/show/?i=14935&c=5&lng=ru, что обнаружили в магазине Google Play очередную партию приложений, зараженных малварью семейства FakeApp. Отмечается, что суммарно приложения загрузили не менее 2 160 000 раз, а один из образцов малвари использовал DNS для скрытой связи с управляющими серверами.
Исследователи напоминают, что основной целью многих троянов Android.FakeApp (даже просто FakeApp) является переход по ссылкам на различные сайты, и с технической точки зрения эти вредоносы достаточно примитивны. Так, при запуске они получают команду на открытие заданного URL, в результате чего установившие их пользователи вместо ожидаемой программы или игры видят на экранах своих устройств содержимое нежелательного сайта.
Отдельное внимание специалистов привлек образец https://vms.drweb.ru/search/?q=Andro...669&lng=ru, который отличает использованием модифицированной библиотеки dnsjava, с помощью которой троян получает конфигурацию с вредоносного DNS-сервера, содержащую целевую ссылку. Отмечается, что конфигурация поступает только при подключении к интернету через определенных провайдеров (например, мобильного интернета). В других обстоятельствах троян никак себя не проявляет.
По словам исследователей, эта вариация FakeApp имеет множество модификаций, которые маскируются под различные приложения и распространяются, в том числе, через официальный магазин Google Play. Так, известные варианты трояна были загружены из официального магазина для Android по меньшей мере 2 160 000 раз.
Ниже перечислены лишь некоторые варианты Android.FakeApp.1669, которые аналитики «Доктор Веб» выявили в Google Play. При этом отмечается, что исследователи нашли даже больше зараженных приложений, но часть из них уже была удалена.
https://dl3.joxi.net/drive/2024/11/1...7aa52e16a6.jpg
При запуске эта версия FakeApp выполняет DNS-запрос к управляющему серверу для получения TXT-записи, ассоциированной с именем целевого домена. В ответ сервер отдает эту запись трояну, только если зараженное устройство подключено к сети через целевых провайдеров. Для отправки DNS-запросов троян использует модифицированный код опенсорсной библиотеки dnsjava.
Такие TXT-записи обычно содержат сведения о домене и некоторую другую техническую информацию, однако в этом случае там содержится закодированная конфигурация для работы малвари.
Все модификации трояна привязаны к конкретным доменным именам, что позволяет DNS-серверу передавать каждой из них свою конфигурацию. Более того, имена субдоменов целевых доменов уникальны для каждого зараженного устройства. В них закодированы данные об устройстве:<ul><li>модель и бренд устройства;</li>
</ul><ul><li>размеры экрана;</li>
</ul><ul><li>идентификатор (состоит из двух чисел: первое — время установки троянского приложения, второе — случайное число);</li>
</ul><ul><li>заряжается ли батарея и каков текущий процент ее заряда;</li>
</ul><ul><li>включены ли настройки разработчика.</li>
</ul>Например, вариант трояна из приложения Goal Achievement Planner, при анализе запросил у сервера TXT-запись для домена 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3 VuZyAg[.]simpalm[.]com, вариант из приложения Split it: Checks and Tips — запись для домена 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3 VuZyAg[.]revolt[.]digital, а вариант из DessertDreams Recipes — для домена 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3 VuZyAg[.]outorigin[.]com.
https://xakep.ru/wp-content/uploads/...response.1.jpg
Для расшифровки содержимого этих TXT-записей необходимо выполнить следующие шаги: перевернуть строку, декодировать Base64, разжать gzip и разбить на строки по символу ÷.
В результате получатся данные следующего вида (пример относится к TXT-записи для приложения Goal Achievement Planner):
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 114px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">url
hxxps[:]//goalachievplan[.]pro
af_id
DF3DgrCPUNxkkx7eiStQ6E
os_id
f109ec36-c6a8-481c-a8ff-3ac6b6131954</pre>
То есть получается ссылка, которую троян загружает в WebView внутри своего окна, поверх основного интерфейса. Ссылка ведет на сайт, запускающий длинную цепочку перенаправлений, в конце которой оказывается сайт онлайн-казино.
В результате вредонос фактически превращается в веб-приложение, которое демонстрирует содержимое загруженного сайта, а не ту функциональность, которая изначально заявлена на странице приложения в Google Play.
https://xakep.ru/wp-content/uploads/...69_website.jpg
При этом, когда трояну доступно интернет-соединение не через целевых поставщиков, а также при работе в режиме офлайн, он работает как было заявлено (при условии, что создатели той или иной модификации малвари предусмотрели какую-либо функциональность на такой случай).
https://xakep.ru/2024/11/12/google-play-fakeapp/