Anfang August deckten wir einen Fall auf, in dem beim Betrachten einiger Nachrichten-Websites auf Android-Geräten automatisch ein Banktrojaner geladen wurde. Wie sich später zeigen sollte, wurde ein derartiges Verhalten auch durch das Anzeigen von Werbemitteilungen mit Hilfe des Netzwerks Google AdSense provoziert, und war auch nicht auf Nachrichten-Websites beschränkt. Faktisch könnte jede Website, die AdSense zum Anzeigen von Werbung verwendet, potentiell Mitteilungen anzeigen, die automatisch den gefährlichen Banken-Schädling Trojan-Banker.AndroidOS.Svpeng laden und automatisch auf der SD-Card des Gerätes speichern. Ein solches Verhalten überraschte uns, denn normalerweise benachrichtigt der Browser den Nutzer beim Laden von Apps über den Download einer potentiell gefährlichen Datei und gibt zur Auswahl, die Datei zu speichern oder nicht zu speichern. Wir haben den Traffic von einem angegriffenen Gerät während des Anzeigens solcher „Werbung“ abgefangen und herausgefunden, wie der Download und das automatische Abspeichern des Schädlings vor sich geht.
Ein wenig Statistik
Zunächst einmal einige Fakten über die letzten Versionen von Trojan-Banker.AndroidOS.Svpeng. Die Verbreitungsgeografie dieses Schädlings ist auf die Russische Föderation und die GUS beschränkt (wir werden später darauf eingehen, warum das so ist). Nachfolgend eine Grafik zur Popularität der letzten Version des Trojaners mit der Bezeichnung Svpeng.q.
Und hier dieselben Informationen über die vorangegangene Version, die ebenfalls über AdSense verbreitet wurde, allerdings schon im Juli 2016:
Wie den Grafiken zu entnehmen ist, wurde Svpeng innerhalb von zwei Monaten insgesamt bei etwa 318.000 Nutzern detektiert, auf dem Gipfel seiner Popularität griff er 37.000 Nutzer pro Tag an. Für diese hohen Zahlen und die sprunghafte Grafik gibt es eine ganz einfache Erklärung – die Werbeanzeigen, mit Hilfe derer der Schädling recht operativ verbreitet wird, werden von Google blockiert. Doch dabei handelt es sich eher um eine reaktive als um eine proaktive Maßnahme – das Blockieren erfolgt erst im Nachhinein, nachdem der Trojaner bereits auf den Geräten von tausenden Android-Nutzern gelandet ist. Bemerkenswert ist zudem die Regelmäßigkeit, mit der derartige Werbeanzeigen bereits seit zwei Monaten in das Netz AdSense eindringen. Derartige Kampagnen laufen sind auch zum aktuellen Zeitpunkt, die letzte wurde am 19.10.2016 registriert.
Und jetzt ans Eingemachte
Schauen wir uns nun einmal an, wie das Anzeigen der Werbung mit dem automatischen Download und der Speicherung der APK-Datei mit dem Trojaner auf der SD-Karte zusammenhängt. Unten dargestellt ist die HTTP-Anfrage, die zum Anzeigen der „Werbemitteilung“ der Cyberkriminellen führt:
Auf diese Anfrage antwortet der Server mit JavaScript-Code, der für das Anzeigen der Werbemitteilung benutzt wird. Doch dieses Skript birgt eine Überraschung – zu Beginn wurde stark obfuskierter Code platziert. Gehen wir einmal der Reihe nach durch, was dieser Code tut:
- Anzeigen der für die Funktion unerlässlichen Variablen und Dechiffrierung der Payload.
- Festlegen der Funktion, mit deren Hilfe die Speicherung erfolgt.
- Aufteilung der entschlüsselten APK-Datei in Blöcke mit einer Größe von je 1024 Byte.
- Installation eines Handlers auf dem Event des Ladens der Seite. Das Auslösen des Handlers initiiert das automatische Speichern der APK-Datei auf der SD-Karte.
Wie wir sehen, erfolgte der Download der APK-Datei als verschlüsseltes Bytearray im Skript. Jetzt musste diese Datei nur noch auf der SD-Karte gespeichert werden.
Der Code checkt die Verfügbarkeit der Funktionen aus den Engines verschiedener Browser und definiert im Falle der Nicht-Verfügbarkeit seine eigene. In dieser Funktion wird ein URL-Objekt erzeugt und das Element <a> (Bezeichnung für einen Link in HTML). Dem infolge dieser Aktivitäten erhaltenen Link wird das Attribut href zugeteilt (das, wohin der Link verweist), und es erfolgt ein softwaregesteuerter Klick auf diesen Link. Diese Methode ist keinesfalls neu: Höchstwahrscheinlich haben die Cybergangster sie sich hier abgeguckt, wobei sie lediglich die Obfuskation und eine Beschränkung hinzufügten – der programmgesteuerte Klick wird nur auf Geräten mit Touchscreen ausgeführt, doch das trifft auf die überwiegende Mehrheit der Smartphones zu.
Neben zusätzlichen Checks, ob das Skript auf dem Smartphone ausgeführt wird oder nicht, führt der Code eine weitere wichtige Überprüfung durch, und zwar welche Sprache auf dem Smartphone verwendet wird. Die Cybergangster greifen ausschließlich Smartphones mit russischer Benutzeroberfläche an, und das sind in erster Linie Geräte von Nutzer aus Russland und in geringerem Maße aus GUS-Ländern.
Wo ist der Haken?
Die oben beschriebene Methode funktioniert nur in Google Chrome für Android. Wenn der Download der .apk unter Verwendung eines Links auf eine externe Ressource erfolgt, gibt der Browser eine Warnmitteilung darüber aus, dass ein potentiell gefährliches Objekt geladen wird und überlässt dem Nutzer die Wahl, die Datei zu speichern oder nicht zu speichern.
Bei der Aufteilung der .apk in Stücke und deren Übermittlung in die Speicherfunktion über die Blob()-Klasse wird keine Überprüfung des zu speichernden Objektes durchgeführt und der Browser speichert die .apk-Datei, ohne den Nutzer davor zu warnen.
Wir haben Google über dieses Verhalten des Browsers informiert und auch darüber, dass mit Hilfe dieses Verhaltens Malware verbreitet wird. Zum Zeitpunkt der Veröffentlichung dieses Artikels wurde bereits ein Patch veröffentlicht, das dieses Problem in Google Chrome beseitigt und den Nutzern mit dem nächsten Update zur Verfügung steht.
In allen anderen Browsers funktioniert die beschriebene Methode entweder überhaupt nicht oder dem Nutzer wird die Auswahl „Datei speichern“ oder „Datei nicht speichern“ angeboten. Kaspersky Lab empfiehlt, Google Chrome zu aktualisieren, um die Möglichkeit einer Infektion mit Schädlingen während des Besuchs von Websites, die AdSense benutzen, auszuschließen.
Fazit
Natürlich ist es nicht ausreichend, den Schädling einfach herunterzuladen – der Nutzer muss ihn auf jeden Fall noch installieren. Die Cyberverbrecher versuchen dieses Problem mittels Social Engineering zu lösen. Der Schädling kann unter den folgenden Namen gespeichert werden:
- last-browser-update.apk
- WhatsApp.apk
- Google_Play.apk
- 2GIS.apk
- Viber.apk
- DrugVokrug.apk
- Instagram.apk
- VKontakte.apk
- minecraftPE.apk
- Skype.apk
- Android_3D_Accelerate.apk.
- SpeedBoosterAndr6.0.apk
- new-android-browser.apk
- AndroidHDSpeedUp.apk
- Android_update_6.apk
- WEB-HD-VIDEO-Player.apk
- Asphalt_7_Heat.apk
- CHEAT.apk
- Root_Uninstaller.apk
- Mobogenie.apk
- Chrome_update.apk
- Trial_Xtreme.apk
- Cut_the_Rope_2.apk
- Установка.apk (=Installation.apk)
- Temple_Run.apk
Alle diese Bezeichnungen enthalten entweder die Namen populärer legitimer Apps oder sie versuchen den Nutzer von der Wichtigkeit und Notwendigkeit der Installation der heruntergeladenen Anwendung zu überzeugen. In den aktuellen Android-Versionen ist die Installation von Apps aus unbekannten Quellen standardmäßig verboten, doch die Online-Gangster zählen darauf, dass der Nutzer diese Option für die Installation eines „wichtigen Browser-Updates“ oder der neusten Version einer populären App deaktiviert.
Zum gegenwärtigen Zeitpunkt greifen die Verbreiter von Svpeng nur Smartphone-Nutzer in Russland an, doch es gibt keine Garantie dafür, dass mit der nächsten „Werbung“, die sie in AdSense einschleppen, nicht auch andere Länder attackiert werden – solche Fälle hat es bereits gegeben. Denn es ist überaus komfortabel, die populärste Werbeplattform zum Laden seiner schädlichen Fälschungen auf die Plattformen von hunderttausenden Anwendern zu benutzen.
Source: DE Securelist info