DroidJack nutzt Seitenlast... Es ist Super effektiv! Hintertür Pokemon gehen Android App gefunden

July 07, 2016
Proofpoint Staff

Übersicht

Pokemon zu gehen, ist das erste Pokémon-Spiel für iOS und Android-Geräte von Nintendo sanktioniert. Die augmented-Reality-Spiel wurde zuerst in Australien und Neuseeland am 4. Juli veröffentlicht und Nutzer in anderen Regionen schnell schrien für Versionen für ihre Geräte. Es erschien am 6. Juli in den USA, aber der Rest der Welt bleibt versucht, eine Kopie außerhalb legitime Kanäle zu finden. Zu diesem Zweck eine Reihe von Publikationen haben Tutorials für zur Verfügung gestellt "Sideloading" Anwendung auf Android. Wie mit anderen apps installiert außerhalb der offiziellen app-Stores, erhalten Benutzer jedoch mehr als sie erwartet hatten.

In diesem Fall entdeckten Proofpoint Forscher eine infizierte Android-Version von der neu veröffentlichten Spiel Pokemon Mobil [1]. Diese spezifischen APK wurde modifiziert, um gehören die bösartige RAS-Tool (Ratte) namens DroidJack (auch bekannt als SandroRAT), die praktisch einen Angreifer geben würde die volle Kontrolle über Telefon des Opfers. Die DroidJack Ratte ist beschrieben worden, in der Vergangenheit unter anderem durch [2] Symantec und Kaspersky [3]. Obwohl wir nicht diese bösartige APK in freier Wildbahn beobachtet haben, war es hochgeladen, eine potentiell gefährliche Datei-Repository-Service bei 09:19:27 UTC am 7. Juli 2016, weniger als 72 Stunden, nachdem das Spiel offiziell in Neuseeland und Australien veröffentlicht wurde.

Wahrscheinlich die Veröffentlichung des Spiels nicht offiziell weltweit zur gleichen Zeit hatten viele Spieler wollen das Spiel zugreifen, bevor es in ihrer Region veröffentlicht wurde Griff auf die APK von dritter Seite herunterladen. Viele große Medien Anweisungen darüber, wie man das Spiel von einem dritten [4,5,6] herunterladen. Einige gingen noch weiter und beschrieben wie installiere ich die APK Download von dritter Seite [7]:

"Eine APK installieren direkt zuerst musst du sagen, Ihr Android-Gerät auf die Seite geladen apps akzeptieren. Dies kann in der Regel erfolgen Einstellungen zu besuchen, indem in den Sicherheitsbereich und dann das Kontrollkästchen "unbekannte Quellen" aktivieren."

Leider, dies ist eine äußerst riskante Praxis und führt Benutzer leicht zu installieren Schadprogramme auf ihren mobilen Geräten... Ein einzelner Download eine APK von einem dritten Partei sollte, der mit einer Hintertür, wie die infiziert wurde, entdeckten wir, würde ihr Gerät dann beeinträchtigt werden.

Personen besorgt, unabhängig davon, ob sie eine bösartige APK heruntergeladen haben ein paar Optionen helfen ihnen festzustellen, ob sie jetzt infiziert sind. Prüfen sie zunächst, den SHA256-Hash des heruntergeladene APK. Die legitimen Anwendung, die häufig mit ist, von Medien verbunden worden hat einen Hash der 8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67, obwohl es möglich ist, dass sind aktualisierte Versionen bereits freigegeben. Die bösartige APK, die wir analysiert hat einen SHA256-Hash des 15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4.

Eine weitere einfache Methode zu überprüfen, ob ein Gerät infiziert ist wäre die installierte Anwendung Berechtigungen zu überprüfen, die in der Regel vom ersten gonna Einstellungen-> Apps-> Pokemon gehen und dann scrollen nach unten zum Abschnitt Berechtigungen zugegriffen werden kann. Abbildung 1 zeigt eine Liste der Berechtigungen auf die legitime Anwendung. Diese Berechtigungen sind je nach Konfiguration des Geräts ändern; zum Beispiel die Berechtigungen "Google Play-billing-Service" und "empfangen von Daten aus dem Internet" sind nicht auf dem Bild dargestellte aber wurden auf einem anderen Gerät gewährt, wenn Sie Pokemon gehen aus dem Google Play Store herunterladen. In den Abbildungen 2 und 3 wurden die beschriebenen Berechtigungen von DroidJack hinzugefügt. Sehen die Berechtigungen für die Pokemon GO app könnte bedeuten, dass das Gerät infiziert ist, obwohl diese Berechtigungen auch in der Zukunft geändert werden.

Pokemon-fig1.png

Abbildung 1: Berechtigungen von legitimen Pokemon gehen APK

 

 

Pokemon-fig2.png

Abbildung 2: Berechtigungen aus der Hintertür Pokemon gehen APK (erster Screenshot)

 

Pokemon-fig3.png

Abbildung 3: Berechtigungen von Hintertür Pokemon gehen APK (zweiter Screenshot)

 

Die infizierten Pokemon gehen APK wurde so modifiziert, dass beim Start des Opfers wahrscheinlich nicht bemerken würde, dass sie eine bösartige Anwendung installiert haben. Abbildung 4 zeigt den Startbildschirm von infizierten Pokemon gehen Spiel, die ist identisch mit dem berechtigten.

Pokemon-fig4.png

Abbildung 4: Infizierte Pokemon gehen Start-Bildschirm; Es scheint identisch mit der legitimen Anwendung

 

Nach der Besichtigung der infizierten Spiel weiter, im Vergleich zu den legitimen Spiel stehen drei Klassen darauf hin, dass sind durch den Angreifer hinzugekommen. Abbildung 5 zeigt die Klassen aus dem legitimen Spiel, während Abbildung 6 die Klassen aus dem infizierten Spiel zeigt, einschließlich der folgenden zusätzlichen Klassen:

  • ein
  • b
  • NET.droidjack.Server

Darüber hinaus hat diese DroidJack Ratte konfiguriert wurde, zur Kommunikation mit dem Befehl und Steuerung (C & C) Domäne Pokemon [..] keine-Ip [..] Org über TCP und UDP port 1337 (Abb. 7). No-ip.org ist ein Dienst verwendet, um einen Domain-Namen wie die in der Regel mit einer dynamischen IP-Adresse zuzuordnen, Heim- oder Business-Anwender (im Gegensatz zu eine dedizierte IP-Adresse) zugeordnet, sondern dient auch häufig durch Bedrohung Schauspieler, zusammen mit anderen ähnlichen Diensten wie DynDNS. Zum Zeitpunkt der Analyse gelöst die C & C-Domain zu einer IP-Adresse in der Türkei (88.233.178 [..] 130) war die akzeptiert keine Verbindungen von infizierten Geräten.

Pokemon-fig5.png

Abbildung 5: Legitime Pokemon gehen Klassen

 

Pokemon-fig6.png

Abbildung 6: Infiziert Pokemon gehen Klassen mit hervorgehobenen bösartige Klassen

 

Pokemon-fig7.png

Abbildung 7: Hardcoded C & C Domain und port

 

Fazit

Installieren von apps von Drittanbietern, anders als offiziell geprüft und sanktioniert corporate app-Stores, ist nie ratsam. Offizielle und Enterprise Appstores haben Verfahren und Algorithmen zur Überprüfung der Sicherheit von mobilen Anwendungen, während Sideloading-apps aus anderen, oft fragwürdigen Quellen, macht Benutzer und ihren mobilen Geräten zu einer Vielzahl von Malware. Wie im Fall der kompromittierten Pokemon gehen APK wir analysiert, besteht die Möglichkeit für Angreifer ein mobiles Gerät komplett Kompromisse eingehen. Wenn das Gerät auf einem Unternehmensnetzwerk gebracht, Netzwerkressourcen sind ebenfalls gefährdet.

Auch wenn diese APK in freier Wildbahn nicht eingehalten worden ist, stellt es einen wichtigen Beweis des Konzeptes: nämlich, dass Cyberkriminelle profitieren von der Beliebtheit von Anwendungen wie Pokemon gehen zu Trick Benutzer zu Malware auf ihren Geräten installieren. Unterm Strich, bedeutet nur weil man kann die neueste Software auf Ihrem Gerät nicht, dass Sie sollten. Stattdessen ist Herunterladen verfügbare Anwendungen aus legitimen app-Stores der beste Weg, um nicht zu gefährden, Ihr Gerät und die Netzwerke, die darauf zugreift.

 

Referenzen

1.http://pokemongo.NianticLabs.com/en/

2.http://www.Symantec.com/Connect/Blogs/droidjack-Rat-Tale-how-Budding-Entrepreneurism-can-turn-Cybercrime

3.http://www.WeLiveSecurity.com/2015/10/30/using-droidjack-Spy-Android-expect-visit-Police/

4.https://www.theguardian.com/Technology/2016/Jul/07/how-to-get-Pokemon-Go-UK

5.http://www.Wired.Co.UK/article/Pokemon-go-out-now-Download-iOS-Android

6.http://www.AndroidPolice.com/2016/07/07/Pokemon-Go-Now-Live-several-countries-including-Australia-New-Zealand-possibly/

7.http://arstechnica.com/Gaming/2016/07/Pokemon-Go-iOS-Android-Download/

 

 

Indikatoren des Kompromisses (IOC)

IOC

IOC-Typ

Beschreibung

15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4

SHA256

Hintertür Pokemon gehen APK

d350cc8222792097317608ea95b283a8

MD5

Hintertür Pokemon gehen APK

Pokemon.no-ip.org

Domäne

DroidJack C & C

88.233.178.130

IP

DroidJack C & C

 

Wählen Sie ET Signaturen, die auf solchen Datenverkehr ausgelöst werden würde:

2821000 || ETPRO MOBILE_MALWARE Pokemon gehen AndroidOS.DroidJack DNS-Lookup

2821003 || ETPRO MOBILE_MALWARE AndroidOS.DroidJack UDP CnC Beacon