Sofisticirani novi Android malware soj pod nazivom “Gorilla” pojavio se u okruženju sajber sigurnosti, posebno dizajniran za presretanje SMS poruka koje sadrže jednokratne lozinke (OTP).
Ovaj maliciozni softver radi skriveno u pozadini, iskorištavajući Androidov sistem dozvola za pristup osjetljivim informacijama na zaraženim uređajima.
Početna analiza sugeriše da Gorilla prvenstveno cilja na klijente bankarstva i korisnike popularnih servisa poput Yandexa, kategorizirajući ukradene SMS poruke radi lakšeg iskorištavanja od strane napadača.
Maliciozni softver koristi kritične Android dozvole uključujući READ_PHONE_STATE i READ_PHONE_NUMBERS za pristup informacijama o SIM kartici i preuzimanje brojeva telefona sa zaraženih uređaja.
Jednom instaliran, Gorilla uspostavlja trajnu vezu sa svojom komandnom i kontrolnom (C2) infrastrukturom koristeći WebSocket protokole, slijedeći format “ws://$URL/ws/devices/?device_id=$android_id&platform=android” kako bi održala stalnu komunikaciju sa svojim operaterima.
Ova veza omogućava malicioznom softveru da prima komande i eksfiltrira osjetljive podatke u realnom vremenu.
Istraživači katalizatora su otkrili da Gorilla koristi neobičnu tehniku da izbjegne otkrivanje izbjegavanjem upotrebe getInstalledPackages ili getInstalledApplications API-ja, što bi zahtijevalo dozvolu REQUEST_INSTALLED_PACKAGES koja bi mogla izazvati sumnju.
Umjesto toga, pokretač upita za malver ima namjeru da odredi nazive paketa, imena aplikacija i verzije, omogućavajući mu da prikupi informacije o instaliranim aplikacijama uz održavanje nižeg profila.
Panel C2 malicioznog softvera otkriva sofisticiranu operaciju, s ukradenim SMS porukama metodično organizovanim pod oznakama kao što su “Banke” i “Yandex”, sugerišući ciljani pristup finansijskim informacijama i popularnim uslugama.
Ova kategorizacija omogućava napadačima da brzo identifikuju i iskoriste vrijedne autentifikacijske kodove i osjetljive informacije sadržane u presretnutim porukama.
U svojoj srži, Gorilla radi kroz niz pozadinskih usluga, osiguravajući uporan rad čak i kada korisnik nije aktivno uključen s uređajem.
Da bi bili u skladu sa zahtjevima Androida, ove usluge koriste startForeground API zajedno sa dozvolom FOREGROUND_SERVICE za prikaz obavještenja, efektivno maskirajući svoju malicioznu aktivnost kao legitimne sistemske procese.
Tehnička analiza: Komandna struktura i sposobnosti
Struktura naredbi malicioznog softvera otkriva tri primarne vrste radnji, od kojih svaka ima određene funkcije u lancu napada.
.webp)
Komanda “device_info” izvlači i prenosi napadačima detaljne informacije o zaraženom uređaju.
Komanda “update_settings”, iako se trenutno čini neaktivnom jer samo evidentira račune bez daljnjih radnji, vjerovatno omogućava daljinsko konfigurisanje ponašanja malicioznog softvera.
Najvažnije je da komanda “send_sms” dozvoljava napadačima da pošalju SMS poruke sa zaraženog uređaja određenim primaocima sa prilagođenim tekstom poruke.
// Command handling structure in Gorilla malware
// Three primary command types:
device_info // Transmits device information
update_settings // Currently inactive but logs receipt
send_sms // Allows remote SMS sending with specified textDok aktivno koristi mogućnosti presretanja SMS poruka, Gorilla uključuje komponente koje sugeriraju planirano proširenje njegove funkcionalnosti.
Prisustvo neiskorištene klase WebViewActivity je posebno zabrinjavajuće, jer ova komponenta obično prikazuje HTML sadržaj i obično se koristi u bankarskom malicioznom softveru za prikaz uvjerljivih stranica za krađu identiteta koje prikupljaju bankarske akreditive ili informacije o kreditnoj kartici.
Maliciozni softver također sadrži intrigantan, ali trenutno neaktivan mehanizam postojanosti u obliku klase USSDReceiver.
Ova komponenta je dizajnirana da sluša birani kod “*#0000#” i pokreće MainActivity kada se otkrije. Iako trenutno nije registrovan ili aktivan, ovaj mehanizam bi napadačima mogao pružiti dodatni metod kako bi osigurao da maliciozni softver ostane operativan čak i nakon pokušaja da ga uklone.
Izvor: CyberSecurityNews