Троян удаленного доступа Rogue дает злоумышленникам полный контроль над устройством жертвы

Сегодня трудно представить нашу жизнь без смартфонов. Их используют более 3,5 млрд. людей по всему миру и, по статистике, на более чем 85% устройств – около 3 млрд. – установлена операционная система Android. Мошенники и создатели вредоносного ПО активно используют эту обширную базу пользователей в своих интересах: пытаются украсть персональную информацию и данные банковских карт, а также создают различные программы для получения прибыли, например шпионское ПО, программы-вымогатели и др.

Тем не менее, получить доступ к смартфону не так просто – для этого злоумышленнику необходимо обойти встроенную систему безопасности и проникнуть в официальный магазин приложений, такой как Google Play. Мошенникам постоянно приходится изобретать новые способы заражения мобильных устройств, совершенствовать навыки обхода средств защиты и придумывать, как замаскировать вредоносное ПО, чтобы его не удалили из официальных магазинов.

Эксперты Check Point Research обнаружили в даркнете группу создателей вредоносных программ для мобильных устройств на платформе Android. В частности исследователи изучили активность злоумышленника под ником Triangulum на нескольких форумах в даркнете. Слово Triangulum в переводе с латыни означает «треугольник», и оно связано с названием одноименной галактики, которая удалена от Земли примерно на 3 млн. световых лет. Галактику Треугольника трудно увидеть на ночном небе невооруженным глазом, как и обнаружить в Сети следы киберпреступника Triangulum. Но если его удалось найти, то отследить его деятельность довольно просто.

За два прошедших года Triangulum продемонстрировал впечатляющие способности к обучению. Он оценил потребности рынка, создал сеть партнерских отношений, вложил средства и распространил вредоносное ПО среди потенциальных покупателей. Triangulum впервые появился на хакерских форумах в 2017 г. С самого начала было заметно, что он обладает техническими навыками в области обратного проектирования вредоносных программ, но более тщательный анализ его дебютных работ показал, что он – разработчик-любитель.

10 июня 2017 г. Triangulum представил свою первую программу – мобильный троян удаленного доступа для атак на устройства на платформе Android, позволяющий похищать конфиденциальную информацию с помощью C&C-сервера, стирать данные на самом устройстве, а в некоторых случаях даже полностью удалять операционную систему.

Четыре месяца спустя она стала доступна для покупки. После этого Triangulum исчез из даркнета примерно на полтора года, вновь появившись 6 апреля 2019 г. с новым продуктом, готовым к продаже. С этого момента Triangulum оживился: в течение полугода он активно рекламировал свое ПО. Оказалось, что за время своего отсутствия ему удалось создать целую сеть для производства и распространения вредоносных программ.

В ходе дальнейшего расследования команде исследователей Check Point Research удалось установить, что Triangulum работал вместе с другим злоумышленником под ником HexaGoN Dev, который специализировался на разработке вредоносного ПО для Android, преимущественно троянов удаленного доступа.

Ранее Triangulum приобрел несколько проектов, созданных HeXaGoN Dev. Навыки программирования HeXaGon Dev в сочетании с успешным социальным маркетингом Triangulum стали представлять реальную угрозу. Они создали несколько вредоносных программ для Android, включая криптомайнеры, кейлоггеры и P2P-бэкдоры.

Затем Triangulum и HeXaGoN Dev объединили усилия для создания новой вредоносной программы. Rogue, относящийся к семейству мобильных троянов удаленного доступа, позволяет получать доступ к устройствам жертв, скачивать любые данные, в том числе фотографии, геолокацию, контакты и сообщения, изменять файлы на устройстве и загружать дополнительные вредоносные программы.

Получив все необходимые разрешения на смартфоне жертвы, Rogue скрывает свою иконку, чтобы пользователю было сложнее его удалить. Если разрешения не были получены, Rogue неоднократно требует их предоставить.

Затем программа регистрируется в качестве администратора устройства. Если пользователь попытается отозвать права администратора, на экране тут же появится пугающее сообщение: «Вы уверены, что хотите стереть все данные?»

Чтобы скрыть свои намерения, Rogue маскируется под официальное приложение от Google. В качестве C&C-сервера используется платформа Firebase, и все команды, управляющие вредоносным ПО, а также украденная с устройства информация доставляются с помощью инфраструктуры Firebase. Google Firebase включает в себя десятки сервисов, помогающих разработчикам создавать мобильные и веб-приложения.

Rogue использует следующие функции Firebase:

• Cloud Messaging для получения команд от C&C-сервера;
• Realtime Database для скачивания данных с устройства;
• Cloud Firestore для загрузки файлов на устройство.

Векторы атак на мобильные устройства имеют свою специфику, поэтому для их эффективной защиты требуется соблюдать следующие правила:

• Регулярно обновляйте операционную систему. Чтобы противостоять уязвимостям повышения привилегий, на мобильных устройствах всегда должна быть установлена последняя версия операционной системы.
• Скачивайте приложения только из официальных магазинов приложений. Так вы снизите вероятность установки вредоносного мобильного ПО.
• Включите возможность удаленной очистки на всех мобильных устройствах, чтобы минимизировать потери личных данных.
• Старайтесь не пользоваться публичными сетями Wi-Fi. Публичные сети упрощают злоумышленникам получение доступа к устройству и позволяют осуществлять атаку посредника. Чтобы защититься от киберугроз, используйте только надежные мобильные и Wi-Fi сети.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365