GUIDE HummingBad : infection Android

[alexandre01]

Préambule

Cet article fait suite à cet échange dans les forums.

Blog checkpoint.com
Graham Cluley


Introduction

Des chercheurs ont découvert un nouveau type de Malware qui roote les appareils android , l'objectif est de générer des revenus publicitaires frauduleux pour ses auteurs.

Plus tôt ce mois-ci, Andrey Polkovnichenko and Oren Koriat, deux membres de l'équipe Check Point Research décrivent comment ils ont détecté le malware, qu'ils ont appelé "HummingBad", dans le cadre d'une étude auprès de deux utilisateurs android infectés par ce malware.

Le vecteur d'infection a été réalisé via une attaque de type "drive-by download", et, selon les analyses obtenues via le cloud de l'entité Check Points, certains sites pour adultes ont servi de vecteurs d'infection, bien que ce type de site ne soit pas leur unique cible.

Le nom du malware est HummingBad, c'est plus précisément un rootkit qui a pour objectif d'obtenir des revenus publicitaires frauduleux. Pour améliorer la rentabilité des auteurs de ce malware, ces derniers n'hésitent pas à installer plusieurs applications android.

La chose la plus inquiétante est, que si les auteurs de ce malware, qui contrôlent des appareils infectés (grâce au rootkit), changent d'objectifs (autre que le but initial de générer des revenus publicitaires) ils peuvent également voler aux utilisateurs infectés leurs noms d'utilisateurs et mots de passes, installer un keylogger pour savoir tout ce que vous tapez, réaliser des attaques groupées, etc.

HummingBad se caractérise par une ou plusieurs attaques sophistiquées en chaîne.

Une image valant mieux qu'un long discours :

Description sommaire

Il faut savoir que les composants malicieux du malware sont tous chiffrés, et ceci dans le but d'éviter que ces derniers soient détectés par des solutions de sécurité..

Il est intéressant de savoir que ce malware a pour but d'obtenir les droits root (administrateur) de l'appareil, afin de conserver sa persistance dans des buts mercantiles.


Plus en détail

Le malware va discrètement lancer un premier vecteur d'attaque. Si la manipulation précédente échoue, le malware va lancer un second vecteur d'attaque de même capacité, l'objectif final d'avoir deux vecteurs d'attaques et probablement que l'auteur de ce malware arrive à ses fins.

Chaque vecteur d’attaque consiste à lancer plusieurs étapes, incluant de déchiffrement et le dé package des codes malicieux.

Les deux vecteurs d'attaque

Le malware HummingBad (représenté par Parent: Com.android.sensjm), contient, entre autre, deux fichiers, que l'on peut appeler composants.
Chaque composant lance des attaques séparées.

En premier lieu, le premier vecteur d'attaque est déclenché par l'un des trois événements communs dans l'appareil:

BOOT_COMPLETED , qui apparaît après le démarrage de l'appareil.
TIME_TICK, qui se produit à chaque minute passée.
SCREEN_ON, qui est lancé quand l'écran s'allume.

En second lieu, le malware vérifie si l'appareil est rooté (possède les droits administrateur) ou non.


Trois cas se présentent

1) L'appareil est déjà rooté:

Si l'appareil est rooté, le malware continue son ascension pour accomplir son objectif. le malware établit des communications avec des serveurs C&C. A partir d'un ou des serveurs C&C, le malware télécharge des applications android malveillantes (fichiers APK).

2) a) L'appareil n'était pas rooté, mais suite au premier vecteur d'attaque, le malware a obtenu les droits root:

Si l'appareil n'est pas rooté, le malware déchiffre un fichier (le composant Right_Core.apk). Ce composant déchiffre une librairie native à partir d'un fichier appelé support.bmp.
Cette librairie est utilisé pour lancer de multiples exploits pour essayer d'obtenir une élévation de privilèges et obtenir les droits administrateurs.
Si l'appareil est rooté, le malware continue son ascension pour accomplir son objectif.

2) b) L'appareil n'était pas rooté, le premier vecteur d'attaque est un échec, lancement du second vecteur d'attaque:

Si l'appareil n'est pas rooté, malgré le premier vecteur d'attaque, un second vecteur d'attaque est lancé:
L e malware va utiliser des attaques d’ingénieure sociale, et le composant qs.apk est alors utilisé. (après déchiffrement par le malware "parent").

Une fois le composant qs décompressé, le malware affiche de fausses notifications, telles que des fausses mises à jour système malveillantes, sous forme de fichier .APK. Si le système n'y voit que du feu, le malware cache sa propre icône, et déchiffre un fichier appelé module_encrypted.jar

Ce dernier fichier ( module_encrypted.jar) a les mêmes capacités que right_core.apk, la différence est que module_encrypted.jar contient d'autres nouveaux exploits pour obtenir les droits root.

A cette étape, le malware va essayer de se connecter à ses propres serveurs C&C pour effectuer des commandes supplémentaires par le malware, comme:

Télécharger des APKs à partir d'une URL fournies par le serveur et les installer. Si l'access root a été obtenu par l'escalade de privilèges initiée par le fichier module_encrypted.jar, le serveur va installer d'autres fichiers apk, ou encore afficher des boites de dialogue incitant l'utilisateur à installer des applications apk.

Envoyer des requêtes "referrer" dans des buts mercantiles. Le malware examine à partir du serveur les applications malicieuses du ou des appareils infectés, puis envoie des requêtes com.android.vending.INSTALL_REFERRER , avec l'identifiant du mobile pour rémunérer les créateurs du malware.

Lancer des applications : le malware va obtenir une liste de paquets via le serveur et va essayer de les lancer.

Il est intéressant de constater que les serveurs C&C sont encore actifs, avec une douzaine de fichiers APK en circulation. Certains ont des capacités pour obtenir les droits administrateurs de l’appareil, d'autres non. On notera toutefois que, parmi ses applications, il y a Ghost Push, et Brain Test, et qui ont été présents dans Google Play, le gestionnaire de paquets officiel d'android.

​