16/03/16Trojansk hest spredt til Android brugere – Analyse af “Android Trojan”

Der er for nyligt spredt en trojansk hest til Android brugere.

Brugeren bedes, i SMS beskeden, hente en MMS besked fra Danske Banks MobilePay.

SMS besked som udgiver sig for MMS

Brugeren anvises til at klikke på et ondsindet link, som indeholder en APK (Android installationsfil).

Hvis brugeren klikker på linket, vil installationen af den ondsindede applikation startes og brugeren præsenteres for installation af en MMS applikation.

Efter installation af applikationen, er der ingen synlige tegn på enhedens skærm (ikon er ikke tilstede I applikationsfolderen eller hjemmeskærm). Dette gør det vanskeligere at identificere at en ondsindet applikation netop er installeret.

Brugeren anmodes om installation af applikation

 

Når den trojanske hest er aktiveret, vil den videresende informationer om brugerens Android enhed,; IMEI, Land, operatør, installerede applikationer og gemte text beskeder, til angriberens Command and Control server (C&C) og have adgang til at udføre følgende:

• Intercept modtagne text beskeder
• Sende text beskeder
• Slette brugerens data
• Låse enheden

 

 

 

Kommunikation mellem Trojanske hest og C&C server

 

 

Herefter venter den trojanske hest i baggrunden på, at Danske Bank’s Mobile Pay applikation åbnes, hvorefter den vil generere et overlay (skærmbillede som ligger ovenpå Mobile Pays skærm), hvor brugeren bliver bedt om at indtaste CPR-nummer, telefon nummer og password.

 

 

Efter at brugeren har indtastet disse informationer, anmoder den trojanske hest brugeren om at tage et billede af sit NEM-id kort.
Indkomne beskeder fanges gennem Man in The Middle (intercepted) angreb, hvorefter de sendes til angriberen server, som er lokaliseret i Riga, Letland.

 

C&C server er registreret i Letland

En analyse af den dekompilerede APK fil (source kode) afslører at den trojanske hest modtager model, OS, operatør og fabrikant af brugerens enhed.

Model, OS, operatør og fabrikant af brugerens enhed registreres

 

 

 

 

 

 

 

 

Andet sted I koden afsløres det, at der forsøges indhentet et billede af brugerens Nem-id.

Der forsøges taget et billede af brugers NEM-id

 

 

 

 

 

 

 

 

 

Nedenstående viser kodestumpen, som læser brugerens beskeder og sender dem videre til angriberens server.

SMS kopieres til angribers server

 

I koden kan yderligere aflæse informationer, som afslører angriberens servers identitet og placering.

Link i kildekoden som afslører angribers C&C server’s lokation

 

 

 

 

 

 

Til at sende informationer hentet fra Mobilepay benyttes SendData funktionen i MobileBank klassen, som er ansvarlig for at indhente og videresende de stjålne oplysninger fra MobilePay til angribers server.

Data indhentet videresendes til angribers server

Som det fremgår af denne korte analyse, er denne trojanske hest en alvorlig trussel mod brugere af specielt Android enheder og af Danske Banks MobilePay. Yderligere er det et åbenlyst tegn på, hvordan angribere specifikt går efter banker og bank applikationer, ikke ’kun’ i andre lande, men specifikt for Danmark.

I skrivende stund er der på virustotal yderligere kun en detekterings ration på 28 ud af 56 Antivirus producenter som detekterer denne trojanske hest.

Detekterings ration på virustotal

 

 

Analyseret og skrevet af Amir Shahin, it-sikkerhedskonsulent hos Digicure A/S

Nyhedsoversigt