Hlavní navigace

Postřehy z bezpečnosti: Gooligans útočí na Android

Zuzana Duračinská

Dnes se podíváme, jak minulý týden Gooligan potrápil uživatele služeb Google, jaký další úspěch v negativním slova smyslu zaznamenal Mirai při odříznutí uživatelů od internetu a za čím stála síť Avalanche.

V uplynulém týdnu jsme ve spleti nových útoků a zranitelností zaznamenali několik zajímavých novinek. Výraznou pozornost si vyžádala malwarová kampaň postavená na kombinaci Android + Google. Malwarem s názvem Gooligan se již nakazilo přes milión zařízení a každý den přibývá pár tisíc dalších. 

O co jde? Poté co se malware dostane do zařízení Android, snaží se získat autorizační tokeny k přihlášení do služeb, jako jsou například Google Play, Google Drive, Google Photos, Google Docs nebo Gmail. Jak se malware do zařízení dostane, není bohužel moc překvapivé. Části malwaru Gooligan se nacházejí ve vícero aplikacích na Android App Storu třetí strany. Bezpečnost těchto aplikací často bohužel není dobře ověřena. I tak se však tyto obchody stávají zajímavou alternativou pro Google Play pro bezplatné aplikace a někdy také pro bezplatné verze jinak placených aplikací.

Část kódu z tohoto malwaru se objevila už během loňského léta ve škodlivé aplikaci SnapPea. Instalace škodlivého kódu z aplikace App Storu však není jediný způsob, jakým se tento malware může do zařízení dostat. Škodlivá aplikace se také může stáhnout přes odkaz například v podobě phishingové zprávy. Potom, co se aplikace do zařízení Android nějakým způsobem nainstaluje, začne toto zařízení zasílat data C&C serveru a následně stahovat rootkity pro VROOT (CVE-2013–6282) a Towelroot (CVE-2014–3153). I když jde o poměrně staré zranitelnosti, stále se najdou zařízení, která nemají příslušné záplaty nainstalovány.

Pokud je tedy útočník úspěšný, získává nad zařízením plnou kontrolu a může vykonávat vzdálené příkazy. Gooligan si pak stáhne do zařízení další škodlivý modul, který napodobuje uživatelské chování, čímž snižuje možnost své detekce. Až pak ke slovu přichází plnění skutečné funkce Gooliganu. Začne krádež uživatelského emailového účtu na Googlu (včetně připojených služeb) a autentizačních tokenů, dále instalace aplikací z Google Play, jejich hodnocení za účelem zvýšení jejich reputace a nakonec také instalace adwaru za účelem zisku. 

Zranitelnost se týká zařízení běžících na Androidu 4 (Jelly Bean, KitKat) a Androidu 5 (Lollilop) který je velice rozšířený. Většina napadených zařízení se nachází v Asii a přibližně 9 % v Evropě. Jestli byl kompromitován také váš Google účet, si můžete zkontrolovat na gooligan.checkpoint.com.

Naše postřehy

Mirai botnet zažil chvíli své slávy před pár týdny, kdy sehrál svou roli při znepřístupnění služeb globálního DNS providera Dyn. Výsledkem tohoto útoku bylo nepřekládání adres velkých služeb jako je Twitter, Spotify nebo Github. U druhého velkého útoku byla opět využita část škodlivého kódu z malwaru Mirai. Tentokrát nebyly obětí DNS servery, ale domácí routery. Milióny domácích routerů značky Zyxel a Speedport jsou zranitelné vůči vzdálenému spuštění kódu a mají otevřený port 7547, který slouží internetovým poskytovatelům ke vzdálené správě routerů. V důsledku zneužití této zranitelnosti bylo dle Deutsche Telecom přes 900 000 zákazníků bez internetového připojení. Payload otevře interface pro vzdálenou administraci a vyzkouší se přihlásit třemi různými výchozími hesly. Potom co se úspěšně přihlásí, port 7547 zavře, aby se routeru nezmocnili jiní útočníci. Dle honeypotů jedné výzkumné společnosti je zasílán scan na tuto zranitelnost na jednotlivé IP adresy každých 5–10 minut. Obrovský nárůst pokusů o útok na port 7547 jsme zaznamenali také na firewallech routeru Turris.

Přes čtyři roky trvalo velké skupině několika organizací, jako je například FBI nebo Europol, rozbít mezinárodní kriminální platformu známou jako Avalanche. Šlo o síť„cloudového hostingu“, která sloužila k pronajímání útočníkům, kteří přes ni mohli spouštět nejrůznější malwarové a phishingové útoky. Každý den k tomu zaměstnávala síť Avalanche přibližně 500 000 nakažených strojů. Co však dělalo tuto skupinu zajímavou, byla technika dvojitého fast-fluxu. Právě to byl jeden z důvodů, proč odhalení této skupiny vyžadovalo spolupráci různých organizací, spolu s doménovými registry. Jenom v Německu se skupina podepsala za ztrátami kolem 6 miliónu EUR. Oběti malwaru, který byl přes Avalanche distribuován, se však nacházejí až ve 180 státech. Během akce vedoucí k odhalení skupiny bylo prohledáno 37 objektů a zkonfiskováno 39 serverů. Co je však na této operaci zajímavé, je počet sinkholovaných a blokovaných domén – přes 800 000. To dělá tuto operaci prozatím největší, co se týče boje s infrastrukturou botnetů.

Další zranitelnost se týká uživatelů Windows, kteří používají Firefox ve verzi 41 až 50. Negativní stránkou této zranitelnosti je odhalování skutečné identity uživatelů sítě Tor. Jde o anonymizační software, který by měl sloužit primárně pro bezpečné surfování pro novináře či lidsko-právní aktivisty. Bohužel tato síť také slouží ke krytí nelegálních aktivit. Zranitelnost ve Firefoxu, která umožňuje odhalování uživatelů této anonymizační sítě, byla využita FBI již v minulosti na odhalování uživatelů navštěvujících stránky s dětskou pornografií. Exploit se spustí v případě, že je otevřený Firefoxem nebo Tor Browserem a pokud je povolený Javascript. Patch již zveřejnily oba prohlížeče, uživatelé se však mohou také do budoucna chránit před škodlivým javascriptem přes doplňky do prohlížečů, jako je například no-script.

Další ze spamových kampaní zkouší nakazit nepozorné uživatele ransomwarem Cerber. Tentokrát spam neobsahuje žádnou přílohu jenom velice krátký text, který obsahuje hypertextový odkaz zneužívající přesměrování na škodlivý payload, který je hostován na sítí Tor a uživatelé na něj přistupují přes Tor2Web proxy. Právě Tor ztěžuje možnost nalezení serverů, které škodlivý obsah hostují. Další výhodou pro útočníky je fakt, že hostování na sítí Tor snižuje možnost blacklistování a detekčním nástrojům trvá déle, než škodlivý payload identifikují. Payloady tak mohu být déle aktivní. Po přesměrování jsou uživatelé vyzváni ke stažení dokumentu typu Microsoft Word, který obsahuje škodlivá makra. Povolení maker aktivuje downloader, který spustí Powershell, a ten pak stáhne Cerber ransomware. Za decryptor si útočnící žádají kolem 1000$.

Ve zkratce

Stále pokračující problém se spamem v Apple kalendáři

Dronjacking jako služba na Dark webu?

Více nakažených PC v souvislosti s Black Friday a blížícími se svátky

Shamoon malware se vrací

Zranitelnosti v Android aplikaci AirDroid

Pro pobavení

Našli jste v článku chybu?