12/02/2016 11:52:48

MazarBOT angriber Danmark

CSIS har analyseret en SMS der sendes til vilkårlige mobilnumre i Danmark. Den pågældende SMS/MMS ankommer med følgende indhold (saniteret af CSIS):

"Du har modtaget en MMS-besked fra +45 29284572. Følg linket http://www.mmsforyou[.]net/mms.apk for at få vist beskeden."

Hvis den pågældende APK (som er en programfil til Android) køres på en Android mobiltelefon, så opnås der følgende rettigheder på enheden, såfremt ofret tillader det:

- SEND_SMS
- RECEIVE_BOOT_COMPLETED
- INTERNET
- SYSTEM_ALERT_WINDOW
- WRITE_SMS
- ACCESS_NETWORK_STATE
- WAKE_LOCK
- GET_TASKS
- CALL_PHONE
- RECEIVE_SMS
- READ_PHONE_STATE
- READ_SMS
- ERASE_PHONE


Vi har identificeret den skadelige APK til at være "Mazar Android bot" som observeret her af Recordedfuture i November 2015: https://www.recordedfuture.com/mazar-android-bot/

Den skadelige pakke henter TOR ned på telefonen via følgende uskadelige URLs:
https://f-droid.org/repository/browse/?fdid=org.torproject.android
https://play.google.com/store/apps/details?id=org.torproject.android

- udpakker og afvikler TOR applikationen, som skal bruges til at forbinde enheden til serveren: http://pc35hiptpcwqezgs[.]onion.

I næste fase sendes en SMS til nummeret: 9876543210 med tekstbeskeden "thank you". Denne indeholder også lokalitetsdata på enheden.

Skræmmende mobil malware med mange muligheder
Med de muligheder der åbnes her, er der stor risiko for mange former for misbrug. En ting er, at SMS beskeder kan afsendes til overtakserende numre. En anden ting er, at der åbnes for overvågning og kontrol af Android telefonen med de konsekvenser det kan have. En af de mest grimme funktioner, som denne malware understøtter, er opsamling af SMS'er. Det kan bidrage til at omgå 2FA (2-faktor autentifikation).

Polipo proxy og MiTM
Ved at implementere "Polipo proxy" (https://github.com/splondike/polipoid) kan de udnytte et utal af funktionalitet. Det er muligt at ændre trafik og sætte sig imellem telefonen og en tjeneste. Det giver indlysende en stribe udfordringer, da det i realiteten bliver et MiTM angreb.

Filerne kopieres til mobilen som mp3 filer:

122,933 polipo.mp3
1,885,100 tor.mp3

Dertil følger konfiguration af proxy m.v.:

174,398 debiancacerts.bks
574 torpolipo.conf
879 torpolipo_old.conf
212 torrc
276 torrc_old

Konfigurationen af TOR proxy'en er pænt straight forward:

proxyAddress = "127.0.0.1"
proxyPort = 8118
allowedClients = 127.0.0.1
allowedPorts = 1-65535
proxyName = "127.0.0.1"
cacheIsShared = false
socksParentProxy = "127.0.0.1:9050"
socksProxyType = socks5
diskCacheRoot = ""
localDocumentRoot = ""
disableLocalInterface = true
disableConfiguration = true
dnsUseGethostbyname = yes
disableVia = true
from,accept-language,x-pad,link
censorReferer = maybe
maxConnectionAge = 5m
maxConnectionRequests = 120
serverMaxSlots = 8
serverSlots = 2
tunnelAllowedPorts = 1-65535
chunkHighMark = 11000000
objectHighMark = 128

Chrome injektion
Udover at kunne stoppe opkald og foretage andre aggressive kommandoer på mobilen er MazarBOT også i stand til at injekte sig i Chrome:

 

chrome inject

>Flere andre indstillinger og kommandoer, som kommer med MazarBOT, kan blive observeret herunder:

 

mazar

>Vil ikke køre på russiske Android telefoner
Vi lod os heller ikke videre overraske, da vi så at denne malware ikke lader sig installere på mobiltelefoner med russiske sprogindstillinger. Bemærk, at den laver en "checklocale" der vil stoppe applikationen såfremt mobiltelefonen er i russiske hænder.

locale.getCountry()
equalsIgnoreCase("RU"))
Process.killProcess(Process.myPid());

Mazar BOT er blevet annonceret til salg på flere undergrundssider, men det er første gang at vi har set denne kode blive misbrugt i aktive angreb.

 

mazarbot

>Antivirus detektion af den skadelige APK er lav (3/54):
https://www.virustotal.com/en/file/73c9bf90cb8573db9139d028fa4872e93a528284c02616457749d40878af8cf8/analysis/