W ostatnich miesiącach badacze z Check Point Research zidentyfikowali kolejnego dostawcę złośliwego oprogramowania na Androida, który wykorzystywał darknet do działań promujących swoje rozwiązania. Twórca i sprzedawca złośliwego oprogramowania, który występuje pod nazwą „Triangulum”, po raz pierwszy dołączył do darknetu na początku 2017 r. Cztery miesiące później Triangulum zaczął oferować swoje pierwsze szkodliwe oprogramowanie dla Androida, a jego pierwszym produktem był mobilny RAT, czyli trojan zdalnego dostępu. Tego typu program zdolny jest do przechwytywania danych z serwerów C&C czy niszczenia danych lokalnych - a nawet usuwania całego systemu operacyjnego!
Po kilku miesiącach działań profil zniknął na prawie 1,5 roku. Triangulum pojawił się ponownie 6 kwietnia 2019 r., wprowadzając na rynek zupełnie nowy produkt. Od tego momentu programista stał się coraz bardziej aktywny, reklamując szereg usług w kolejnych sześciu miesiącach. Badacze spekulują, że podczas przerwy w działalności, Triangulum utworzył dobrze działającą linię do tworzenia i dystrybucji złośliwego oprogramowania dla Androida.
Dalsze dochodzenie Check Pointa ujawniło, że Triangulum współpracuje z innym podmiotem zajmującym się szkodliwym oprogramowaniem - „HexaGoN Dev”, który specjalizuje się w opracowywaniu szkodliwych programów dla systemu Android, w szczególności RAT. Jako że HexaGoN Dev, mimo kompetencji programistycznych, miał problemy z samodzielną sprzedażą swoich produktów, połączył siły ze „specjalistą od marketingu podziemnego”, czyli Triangulum, który pomógł mu stworzyć różne marki tego samego produktu. Jako, że HexaGoN Dev, mimo kompetencji programistycznych, miał problemy z samodzielną sprzedażą swoich produktów, połączył siły ze „specjalistą od marketingu podziemnego”, czyli Triangulum, który pomógł mu stworzyć różne marki tego samego produktu. Kolaboracja pozwoliła tym samym na osiągnięcie wymarzonego sukcesu finansowego.
Połączenie umiejętności programistycznych HexaGoN oraz umiejętności marketingu społecznościowego Triangulum stanowiło zdaniem ekspertów Check Pointa wyraźnie uzasadnione zagrożenie. Ostatecznie Triangulum i HeXaGoN Dev wyprodukowali i rozpowszechnili wiele wariantów złośliwego oprogramowania dla Androida, w tym kryptominery, keyloggery i zaawansowane MRAT P2P (Phone to Phone).
Rouge, czyli kooperacja na czarnym rynku
Triangulum i HeXaGoN Dev współpracowali w ostatnim czasie w celu stworzenia i wprowadzenia na czarny rynek oprogramowania Rogue, będącego częścią rodziny MRAT (trojan mobilny zdalnego dostępu). Ten typ złośliwego oprogramowania pozwala przejąć kontrolę nad urządzeniem i wydobyć wszelkiego rodzaju dane, takie jak zdjęcia, lokalizacja, kontakty i wiadomości; może również modyfikować pliki na urządzeniu z systemem Android i pobrać dodatkowe złośliwe ładunki. Gdy Rogue uzyska wszystkie wymagane uprawnienia na docelowym urządzeniu, ukrywa swoją ikonę przed użytkownikiem urządzenia, by ten nie mógł się go pozbyć. Jeśli jednak wymagane uprawnienia nie zostaną przyznane, będzie wielokrotnie prosić użytkownika o ich ostateczne przyznanie.
Następnie złośliwe oprogramowanie rejestruje się jako administrator urządzenia. Jeśli użytkownik zda sobie z tego sprawę i spróbuje cofnąć uprawnienia administratora, na ekranie pojawi się komunikat dotyczący akceptacji usunięcia wszystkich danych z urządzenia, co zazwyczaj jest wystarczającym powodem dla zaniechania dalszych prób usunięcia oprogramowania. Co ważne Rogue korzysta z platformy Firebase, będącą usługą Google’a opracowaną dla aplikacji androidowych. Korzystając z niej malware ukrywa swoje złośliwe zamiary dzięki podszywaniu się pod legalną usługę.
Dostawcy mobilnego malware’u stają się coraz bardziej pomysłowi w darknecie. Nasze badania dają nam wgląd w to jak ewoluuje złośliwe oprogramowanie i jak coraz trudniej skutecznie śledzić, klasyfikować i chronić przed nim. – mówi Yaniv Balmas, kierownik badań cybernetycznych w Check Point.
Aż 85 proc. z przeszło 3,5 miliarda smartfonów na całym świecie opartych jest o system operacyjny Android. Oznacza to, że blisko 3 miliardy użytkowników staje się potencjalnymi ofiarami złośliwego oprogramowania pokroju Rogue. Firma Check Point przypomina o zachowaniu dobrych praktyk pozwalających uniknąć większości ataków: bieżącej aktualizacji systemu operacyjnego, instalowania oprogramowania jedynie z oficjalnych dystrybucji, wyłączenia zdalnego usuwania danych oraz maksymalnego ograniczenia korzystania z otwartych sieci Wi-Fi.