Nowa kampania cyberprzestępcza przypisywana grupie ScarCruft pokazuje, że złośliwe oprogramowanie coraz częściej ukrywa się w pozornie niewinnych aplikacjach do gier. Według raportów bezpieczeństwa na platformach typu sqgame.net miały pojawiać się zainfekowane aplikacje, które po instalacji uruchamiają backdoor BirdCall. Malware działa zarówno na Androidzie, jak i systemie Windows, umożliwiając kradzież szerokiego zakresu danych użytkownika (SMS-y, kontakty, logi połączeń, nagrania audio, zrzuty ekranu czy informacje o urządzeniu). Wszystko odbywa się w tle, bez wiedzy ofiary, co sprawia, że zagrożenie jest trudne do wykrycia.
BirdCall – zaawansowany backdoor ukryty w grach mobilnych i na Windows
Z raportów badaczy bezpieczeństwa wynika, że BirdCall to rozbudowany backdoor rozwijany przez grupę ScarCruft (APT37). Ewoluuje on od wielu lat i ma już wiele wariantów, w tym co najmniej siedem wersji dla Androida.
Oprogramowanie to nie jest zwykłym wirusem kradnącym dane w prosty sposób, ale narzędziem szpiegowskim działającym wielowarstwowo. W przypadku Androida malware dystrybuowane jest głównie przez zmodyfikowane aplikacje związane z grami, udostępniane m.in. przez podejrzane platformy. Użytkownik instaluje pozornie normalną grę, a w tle uruchamiany jest BirdCall, który uzyskuje dostęp do kluczowych elementów systemu.
W zależności od uprawnień może on zbierać dane o lokalizacji IP, listy kontaktów, SMS-y, historię połączeń, a także szczegółowe informacje o urządzeniu np. IMEI, adres MAC czy dane sieciowe. Poza tym malware nie ogranicza się tylko do pasywnego zbierania informacji. Potrafi również wykonywać działania aktywne. W niektórych konfiguracjach działa nawet według harmonogramu. Dodatkowo BirdCall może przesyłać do serwera sterującego dane systemowe – zużycie RAM, temperatura baterii czy stan pamięci. To rzecz jasna pozwala operatorom dokładnie monitorować urządzenie ofiary.
Ukierunkowane ataki i różnice między Androidem a Windowsem. Jak działa BirdCall w praktyce?
Analiza działania BirdCall pokazuje, że jego funkcjonalność różni się w zależności od systemu operacyjnego. Wersja na Windowsa jest bardziej rozbudowana. Pozwala m.in. na rejestrowanie klawiatury (keylogging), przechwytywanie schowka, wykonywanie poleceń systemowych, usuwanie plików, zabijanie procesów oraz przechwytywanie danych z przeglądarek i komunikatorów. W przypadku Androida część tych funkcji została ograniczona, jednak nadal pozostaje on bardzo niebezpiecznym narzędziem szpiegowskim. Mobilna wersja nie pozwala m.in. na uzyskanie pełnej kontroli nad procesami systemowymi czy wykonywanie poleceń shell. W zamian skupiono się natomiast na wykradaniu danych osobowych i monitorowaniu aktywności użytkownika w czasie rzeczywistym.
Infekcja często zaczyna się od tzw. trojanizowanych aplikacji APK, które wyglądają jak gry, ale w rzeczywistości zawierają ukryty kod malware. Po instalacji BirdCall może łączyć się z serwerem C2 (command-and-control), z którego otrzymuje polecenia i wysyła skradzione dane. Warto też zwrócić uwagę na techniki utrzymania aktywności. Malware może np. odtwarzać cichy plik audio w pętli, aby system nie uśpił procesu. To pozwala mu działać w tle przez długi czas.
BirdCall nie jest wprawdzie nowym typem zagrożenia, ale jego rozwój i sposób dystrybucji pokazują, że cyberprzestępcy coraz skuteczniej wykorzystują popularność gier i aplikacji mobilnych do infekowania urządzeń. Eksperci podkreślają, że największym ryzykiem pozostaje instalowanie oprogramowania spoza oficjalnych sklepów. To właśnie ten kanał najczęściej służy do rozpowszechniania złośliwych plików APK.
Źródło: Android Headlines