Cybersecurity-onderzoekers hebben details bekendgemaakt van twee nieuwe Android-malwarefamilies FvncBot En SeedSnatcheraangezien er weer een verbeterde versie van ClayRat in het wild is gespot.
De bevindingen zijn afkomstig van respectievelijk Intel 471, CYFIRMA en Zimperium.
FvncBot, dat zich voordoet als een beveiligingsapp ontwikkeld door mBank, richt zich op gebruikers van mobiel bankieren in Polen. Wat opvalt aan de malware is dat deze volledig vanuit het niets is geschreven en niet is geïnspireerd door andere trojans voor Android-bankieren, zoals ERMAC, waarvan de broncode is gelekt.
De malware “implementeerde meerdere functies, waaronder keylogging door misbruik te maken van de toegankelijkheidsdiensten van Android, web-inject-aanvallen, schermstreaming en verborgen virtuele netwerkcomputers (HVNC) om succesvolle financiële fraude uit te voeren”, aldus Intel 471.
Net als de onlangs ontdekte Albiriox-bankmalware, wordt de malware beschermd door een coderingsservice die bekend staat als apk0day en die wordt aangeboden door Golden Crypt. De kwaadaardige app fungeert als een lader door de ingebouwde FvncBot-payload te installeren.
Zodra de dropper-app wordt gelanceerd, worden gebruikers gevraagd een Google Play-component te installeren om de veiligheid en stabiliteit van de app te garanderen, terwijl dit in werkelijkheid leidt tot de inzet van de malware door gebruik te maken van een sessiegebaseerde aanpak die door andere bedreigingsactoren is overgenomen om toegankelijkheidsbeperkingen op Android-apparaten met versie 13 en nieuwer te omzeilen.
“Tijdens de looptijd van de malware werden de loggebeurtenissen naar de externe server op het naleymilva.it.com-domein gestuurd om de huidige status van de bot te volgen”, aldus Intel 471. “De operators voegden een build-identifier call_pl toe, die Polen aangaf als een doelwit, en de malwareversie was ingesteld op 1.0-P, wat duidt op een vroeg ontwikkelingsstadium.
De malware vraagt het slachtoffer vervolgens om toestemming voor toegankelijkheidsdiensten, waardoor het met verhoogde rechten kan werken en via HTTP verbinding kan maken met een externe server om het geïnfecteerde apparaat te registreren en in ruil daarvoor opdrachten te ontvangen met behulp van de Firebase Cloud Messaging (FCM) -service.
Enkele van de ondersteunende functies worden hieronder vermeld:
- Start/stop een WebSocket-verbinding om het apparaat op afstand te bedienen en veeg, klik of scroll om door het scherm van het apparaat te navigeren
- Exfiltreer geregistreerde toegankelijkheidsgebeurtenissen naar de controller
- Exfiltreer de lijst met geïnstalleerde applicaties
- Exfiltreer apparaatinformatie en botconfiguratie
- Ontvang configuratie om kwaadaardige overlays bovenop gerichte applicaties weer te geven
- Toon een overlay op volledig scherm om gevoelige gegevens vast te leggen en te exfiltreren
- Een overlay verbergen
- Controleer de status van de toegankelijkheidsservices
- Misbruik toegankelijkheidsservices om toetsaanslagen te registreren
- Haal openstaande opdrachten op van de controller
- Misbruik de MediaProjection API van Android om scherminhoud te streamen
FvncBot maakt ook een zogenaamde tekstmodus mogelijk om de schermindeling en inhoud van het apparaat te inspecteren, zelfs in scenario’s waarin een app verhindert dat er schermafbeeldingen worden gemaakt door de optie FLAG_SECURE in te stellen.
Het is momenteel niet bekend hoe FvncBot wordt gedistribueerd, maar het is bekend dat Android-banktrojans sms-phishing en app-winkels van derden gebruiken als verspreidingsvector.
“De toegankelijkheidsservice van Android is bedoeld om gebruikers met een handicap te helpen, maar kan aanvallers ook de mogelijkheid geven om te weten wanneer bepaalde apps worden gestart en de weergave van het scherm te overschrijven”, aldus Intel 471. “Hoewel deze specifieke steekproef is geconfigureerd om zich op Poolssprekende gebruikers te richten, is het aannemelijk dat we dit thema zullen zien verschuiven om zich op andere regio’s te richten of om zich voor te doen als andere Poolse instellingen.”
Terwijl de kernfocus van FvncBot ligt op gegevensdiefstal, is SeedSnatcher – gedistribueerd onder de naam Coin via Telegram – ontworpen om de diefstal van cryptocurrency portemonnee-zaadzinnen mogelijk te maken. Het ondersteunt ook de mogelijkheid om inkomende sms-berichten te onderscheppen om tweefactorauthenticatiecodes (2FA) te stelen voor accountovernames, en om apparaatgegevens, contacten, oproeplogboeken, bestanden en gevoelige gegevens vast te leggen door phishing-overlays weer te geven.
Er wordt geoordeeld dat de operators van SeedSnatcher in China gevestigd zijn of Chinees spreken, gebaseerd op de aanwezigheid van instructies in de Chinese taal die worden gedeeld via Telegram en het controlepaneel van de dief.
“De malware maakt gebruik van geavanceerde technieken om detectie te omzeilen, waaronder dynamisch laden van klassen, heimelijke injectie van WebView-inhoud en op gehele getallen gebaseerde command-and-control-instructies”, aldus CYFIRMA. “Terwijl er in eerste instantie om minimale runtime-rechten wordt gevraagd, zoals sms-toegang, escaleert het later de rechten voor toegang tot Bestandsbeheer, overlays, contacten, oproeplogboeken en meer.”
De ontwikkelingen komen op het moment dat Zimperium zLabs zei dat het een verbeterde versie van ClayRat heeft ontdekt die is bijgewerkt om toegankelijkheidsdiensten te misbruiken en de standaard sms-rechten te exploiteren, waardoor het een krachtigere bedreiging wordt die toetsaanslagen en het scherm kan registreren, verschillende overlays kan bieden, zoals een systeemupdatescherm om kwaadaardige activiteiten te verbergen, en valse interactieve meldingen kan creëren om de reacties van slachtoffers te stelen.
De uitbreiding van de mogelijkheden van ClayRat vergemakkelijkt in een notendop de volledige overname van apparaten door misbruik van toegankelijkheidsdiensten, automatische ontgrendeling van de pincode/wachtwoord/patroon van het apparaat, schermopname, het verzamelen van meldingen en aanhoudende overlays.
ClayRat is verspreid via 25 frauduleuze phishing-domeinen die zich voordoen als legitieme services zoals YouTube en reclame maken voor een Pro-versie voor afspelen op de achtergrond en 4K HDR-ondersteuning. Er is ook gebleken dat dropper-apps die de malware verspreiden, Russische taxi- en parkeerapplicaties nabootsen.
“Samen maken deze mogelijkheden ClayRat tot een gevaarlijkere spyware vergeleken met de vorige versie, waarbij het slachtoffer de applicatie kon verwijderen of het apparaat kon uitschakelen zodra de infectie werd gedetecteerd”, aldus onderzoekers Vishnu Pratapagiri en Fernando Ortega.
