Эксперты по кибербезопасности Palo Alto выявили сложную многоступенчатую кампанию по распространению вредоносного программного обеспечения для операционной системы Android, которая использует контент для взрослых в качестве социальной инженерии. Атака демонстрирует высокий уровень технической изощренности и устойчивую инфраструктуру, что делает ее особенно опасной для пользователей.
Описание
Кампания использует многоуровневую архитектуру с четким разделением между фронтендом (front-end) и бэкендом (backend). На начальном этапе пользователи перенаправляются на сайты-приманки, такие как 0125[.]org, которые размещены на сервере 23.231.159[.]78. Эти страницы содержат анимацию для взрослых, что служит отвлекающим маневром, пока в фоновом режиме выполняются вредоносные скрипты. Для маскировки своей деятельности злоумышленники применяют коммерческие инструменты обфускации (запутывания кода) от jsjiami[.]com и шифрование Triple DES для скрытия URL-адресов бэкенда и конфигурационных данных.
Особенностью атаки является использование сложных методов уклонения от обнаружения. Скрипты содержат инструкции debugger для приостановки выполнения кода и проводят серию проверок, включая измерение времени загрузки тестового изображения. Это препятствует детонации в автоматизированных песочницах анализа. После успешного прохождения проверок скрипт расшифровывает полезную нагрузку с использованием жестко заданных ключей и получает список URL-адресов бэкенда, после чего подключается к активному серверу, такому как 192.250.245[.]109.
Бэкенд инфраструктура демонстрирует высокую устойчивость. Злоумышленники используют стабильные IP-адреса с постоянно меняющимися поддоменами, что затрудняет блокировку. Ключевым элементом устойчивости является разделение между доменами-приманками и основными серверами, позволяющее быстро менять фронтенд без компрометации ядра инфраструктуры.
Финальной стадией атаки становится скрытая загрузка вредоносного APK-файла. Приложение, примером которого служит образец с хэшем SHA-256 cb1f470dbb311fc5a43b5a74ebdcc5af3316932feecff0599201db9b9932ca98, демонстрирует исключительно высокий уровень защиты от анализа. Оно содержит файлы с экстремально длинными именами, вызывающими ошибки при статическом анализе, и использует несоответствие между именем пакета в AndroidManifest.xml и основным кодом в DEX-байткоде.
Ядро вредоносной функциональности скрыто в нативной библиотеке libovkaqzjl.so, защищенной с помощью Obfuscator-LLVM. Библиотека использует технику выравнивания потока управления и динамически распаковывает дополнительные DEX-файлы во время выполнения. Сетевая активность, включая коммуникацию с командными серверами, осуществляется на нативном уровне с использованием функций типа gethostbyname, что затрудняет обнаружение.
Вредоносное приложение запрашивает чрезвычайно опасные разрешения, включая SYSTEM_ALERT_WINDOW для отображения поверх других приложений, QUERY_ALL_PACKAGES для получения списка установленных программ, REQUEST_INSTALL_PACKAGES для установки дополнительного вредоносного ПО, FOREGROUND_SERVICE_MEDIA_PROJECTION для захвата экрана и MOUNT_UNMOUNT_FILESYSTEMS для манипуляции файловой системой. После установки приложение маскируется под название "初夜" ("первая ночь") с логотипом CY51[.]TV, что связывает его с тематикой контента для взрослых.
Приложение занимает значительный объем памяти (187 МБ) и становится полностью неработоспособным при отказе в предоставлении запрошенных разрешений, что подтверждает его исключительно вредоносную природу. Отсутствие легитимной функциональности делает его особенно опасным для пользователей.
Данная кампания демонстрирует растущую сложность атак на мобильные устройства и подчеркивает важность соблюдения базовых правил кибербезопасности: установки приложений только из официальных магазинов, внимательного отношения к запрашиваемым разрешениям и использования надежных антивирусных решений.
Индикаторы компрометации
IPv4
- 192.250.245.109
- 192.250.245.110
- 192.250.245.111
- 192.250.245.112
- 192.250.245.113
- 192.250.245.114
- 192.250.245.115
- 192.250.245.116
- 23.231.159.78
Domains
- 0122.org
- 0125.org
- 0126.org
- 0131.org
- 0142.org
- 0147.org
- 0148.org
- 0150.org
- 0153.org
- 0154.org
- 759zf6jimb6hqlz.xn--xkrs9bw60j.top
- chuye001.oss-accelerate.aliyuncs.com
- cy5151.tv
- eoeretnrlaxcrswj.top
- pkosjalge.xn--cjrrl00m3uo.top
- rjgjds.com
URLs
- https://192.250.245.109/chuye/cdn_domain.js
- https://192.250.245.109?channelCode=hxyd100214
- https://192.250.245.110?channelCode=hxyd100214
- https://192.250.245.111?channelCode=hxyd100214
- https://192.250.245.112?channelCode=hxyd100214
- https://192.250.245.113?channelCode=hxyd100214
- https://192.250.245.114?channelCode=hxyd100214
- https://192.250.245.115?channelCode=hxyd100214
- https://192.250.245.116?channelCode=hxyd100214
- https://759zf6jimb6hqlz.xn--xkrs9bw60j.top?channelCode=hxyd100214
- https://chuye001.oss-accelerate.aliyuncs.com/page389/body.js
- https://chuye001.oss-accelerate.aliyuncs.com/page389/conf/page0389.js
- https://pkosjalge.xn--cjrrl00m3uo.top?channelCode=hxyd100214
- https://rjaupwhep.eoeretnrlaxcrswj.top/index?key=c940de1950fd486180df688ad883aff2
SHA256
- cb1f470dbb311fc5a43b5a74ebdcc5af3316932feecff0599201db9b9932ca98
- ded66571c267ff6b4633ef272480b822aaf509adf12010e3e38fc1f5201e48b0
