Trojanac specijaliziran za napad na besplatni VPN

Tvrtka za kibernetičku sigurnost Cleafy, izdala je izvještaj u kojem analizira Klopatru, novog Android trojanca specijaliziranog za udaljeni pristup sustavu koji prije nije bio poznat i nije imao očite veze s poznatim obiteljima zlonamjernog softvera.

Klopatra se trenutno koristi u aktivnim kampanjama protiv financijskih institucija i njihovih klijenata. Analiza je identificirala dva glavna botneta, s brojem kompromitiranih uređaja koji već prelazi 3000. Klopatra djeluje kao moćan bankarski trojanac i trojanac za udaljeni pristup (RAT), omogućujući svojim operaterima potpunu kontrolu nad zaraženim uređajima, krađu osjetljivih podataka i izvršavanje lažnih transakcija.

Ono što Kloopatru izdvaja od tipične mobilne prijetnje jest njezina napredna arhitektura, izgrađena za prikrivenost i otpornost. Autori zlonamjernog softvera integrirali su Virbox, alat za zaštitu koda komercijalne razine koji se rijetko viđa u svijetu prijetnji za Android.

To, u kombinaciji sa strateškim pomakom osnovnih funkcionalnosti s Jave na izvorne biblioteke, stvara snažan obrambeni sloj. Ovaj izbor dizajna drastično smanjuje njezinu vidljivost tradicionalnim sustavima za analizu i sigurnosnim rješenjima, primjenjujući opsežno maskiranje koda, mehanizme protiv otklanjanja pogrešaka i provjere integriteta tijekom izvođenja kako bi se otežala analiza. 

Klopatra zaražava osobne uređaje predstavljajući se kao besplatna VPN aplikacija pod nazivom Mobdro Pro IP + VPN, a  pojavljuje se kao neposredna prijetnja financijskim institucijama i preteča je novog vala mobilnog zlonamjernog softvera koji usvaja profesionalne tehnike 'zamagljivanja' kako bi izbjegao obranu, što je već viđeno kod drugih modernih Android bankarskih trojanaca.

Nakon instalacije, aplikacija 'dropper' ima jednu svrhu, uvjeriti korisnika da odobri ključno dopuštenje, a to je mogućnost instaliranja paketa iz nepoznatih izvora (REQUEST_INSTALL_PACKAGES). Kako bi se to postiglo, aplikacija predstavlja jednostavno korisničko sučelje s gumbom koji poziva korisnike da "nastave s instalacijom". Dodirom ovog gumba korisnik se preusmjerava na postavke Androidovog sustava i upućuje ga da odobri dopuštenje.

Tehnički, dropper koristi tehniku ​​poznatu kao "JSON Packer" kako bi sakrio pravi zlonamjerni teret unutar svojih resursa. To služi kao prvi sloj izbjegavanja, što alatima za statičku analizu otežava trenutno prepoznavanje zlonamjerne prirode početne aplikacije. Nakon što se dobije dopuštenje, dropper tiho izdvaja i instalira glavni Klopatra payload, dovršavajući početni proces instalacije.

Nakon što se instalira glavni Klopatra payload, manifestira se prava prijetnja. Zlonamjerni softver odmah zahtijeva širok raspon dozvola, ali jedna je ključna za njegov uspjeh: dozvola za Android Accessibility Services.

Usluge pristupačnosti moćan su okvir osmišljen za pomoć korisnicima s invaliditetom. Omogućuju aplikacijama čitanje sadržaja zaslona i izvođenje radnji u ime korisnika. U rukama zlonamjernog softvera, ova funkcionalnost postaje oružje.

Osim izravne kontrole uređaja, Klopatra koristi klasičnu tehniku ​​napada preko kojih se vrši krađa vjerodajnica velikih razmjera. Zlonamjerni softver održava popis ciljanih financijskih i kriptovalutnih aplikacija. Kada otkrije da korisnik otvara jednu od tih aplikacija, Kloopatra šalje zahtjev C2 poslužitelju.

Poslužitelj odgovara prilagođenim HTML sadržajem koji zlonamjerni softver prikazuje kao dijaloški okvir preko legitimne aplikacije (putem naredbe open_enj). Ovaj dijaloški okvir savršeno oponaša zaslon za prijavu u bankarsku aplikaciju, varajući korisnike da unesu svoje korisničko ime i lozinku.

Ove vjerodajnice se bilježe i odmah šalju na C2 poslužitelj. Paralelno s tim, Klopatra provodi sveobuhvatno prikupljanje podataka. Prikuplja informacije o uređaju (model, proizvođača, razinu baterije), popis svih instaliranih aplikacija (paketleri_al) i bilježi osjetljive podatke poput pritisaka tipki i sadržaja međuspremnika. Svi prikupljeni podaci strukturirani su u JSON objekt, kodiran u Base64 formatu, i poslani C2-u, pružajući operaterima detaljan profil svake žrtve.

Klopatra je dizajnirana da preživi na uređaju što je dulje moguće. Koristi privilegije Usluga pristupačnosti za samostalno dodjeljivanje dodatnih dopuštenja, programski klikajući gumbe "Dopusti" ili "U redu" u dijaloškim okvirima sustava.

Autonomno se kreće do postavki optimizacije baterije (naredba pil_opt) kako bi se dodala na popis iznimki, sprječavajući operativni sustav da prekine svoje pozadinske procese.

Nadalje, Klopatra poduzima aktivne obrambene mjere. Sadrži fiksno kodiran popis naziva paketa koji pripadaju popularnim sigurnosnim i antivirusnim rješenjima. Ako otkrije jednu od tih aplikacija instaliranu na uređaju, može je pokušati deinstalirati kako bi se uklonile prijetnje njezinom radu. Konačno, može simulirati pritisak gumba "natrag" kako bi spriječila korisnika da lako pristupi zaslonima postavki gdje bi mogao pokušati deinstalirati zlonamjerni softver.