В подпольных киберпреступных сетях появился новый сервис по аренде вредоносного программного обеспечения для Android, значительно упрощающий проведение таргетированных атак. Троян удалённого доступа под названием Oblivion RAT распространяется по модели Malware-as-a-Service (вредоносное ПО как услуга) и предлагает злоумышленникам готовый набор инструментов для компрометации мобильных устройств. Эксперты отмечают, что весь сервис отличается высокой степенью проработки, напоминая легальный бизнес-проект, что снижает порог входа для киберпреступников и повышает риски для пользователей. Исследователи компании Certo Software первыми опубликовали детальный анализ этой угрозы, изучив полную цепочку заражения, от поддельной страницы обновления до панели управления.
Описание
Сервис предлагает клиентам полноценный веб-интерфейс для сборки вредоносного APK-файла, отдельный конструктор дроппера - приложения-распространителя - и панель управления командным центром для контроля над заражёнными устройствами в реальном времени. Стоимость подписки составляет $300 в месяц, $700 за три месяца, $1300 за шесть месяцев или $2200 за пожизненный доступ, при этом доступны пробные аккаунты на семь дней. Такая коммерциализация позволяет даже технически неподготовленным злоумышленникам запускать сложные атаки. В основе Oblivion RAT лежит двухэтапная модель заражения, тщательно продуманная для обмана жертвы.
Первый этап начинается с дроппера - APK-файла, который распространяется через социальную инженерию в мессенджерах или на платформах для знакомств. Этот файл содержит сжатый основной троян и три самодостаточные HTML-страницы, имитирующие процесс обновления через Google Play. Все страницы используют встроенные стили и не зависят от внешних ресурсов, что позволяет им работать даже без подключения к интернету. Первая страница симулирует завершение загрузки с прогресс-баром, после чего запускается «проверка безопасности», демонстрирующая успокаивающие пользователя галочки: «Вредоносный код не обнаружен», «Безопасная передача данных», «Проверенный разработчик», «Соответствует политике Google».
Вторая страница представляет собой поддельный листинг магазина приложений с названием разработчика «LLC Google», рейтингом 4,5 звезды и зелёной кнопкой «ОБНОВИТЬ». Нажатие на неё запрашивает у системы разрешение на установку пакетов из неизвестных источников, запуская процесс установки второго этапа - полезной нагрузки. Третья страница проводит пользователя по шагам включения установки из неизвестных источников, демонстрируя скриншот переключателя «Разрешить установку из этого источника» и поясняя, что это «стандартная процедура для защиты вашего устройства». Все страницы поддерживают авто-перевод, в конструкторе подтверждены пресеты для английского и русского языков.
Второй этап - непосредственно имплант, который генерируется через веб-конструктор. Оператор настраивает название приложения, иконку и выбирает один из двух режимов работы. Скрытый режим сразу после запуска запрашивает доступ к службе специальных возможностей, автоматически предоставляет все необходимые разрешения, скрывает иконку в лаунчере и не показывает никакого видимого интерфейса. Режим WebView открывает настраиваемый URL-адрес в качестве приманки, параллельно выполняя те же действия по эскалации привилегий в фоне.
Ключевым элементом социальной инженерии является конструктор страницы настроек специальных возможностей, который создаёт пиксель в пиксель точную копию оригинального экрана настроек Android. Каждый текстовый элемент контролируется оператором: заголовок страницы, названия разделов, текст кнопки «Включить» и поясняющее сообщение. Когда жертва нажимает «Включить», она предоставляет импланту службе AccessibilityService полный контроль над пользовательским интерфейсом устройства. После этого служба программно открывает системные настройки и автоматически предоставляет все остальные опасные разрешения - на доступ к SMS, хранилищу, уведомлениям и права администратора устройства, - не показывая пользователю никаких запросов. Опция "hide_permission_process" делает этот процесс полностью невидимым, перехватывая и автоматически отклоняя системные диалоги запросов до их отображения на экране.
Имплант использует несколько техник для осложнения анализа. Наиболее интересной является трюк с поддельным шифрованием ZIP, нацеленный на распространённые инструменты анализа. При попытке статического анализа APK-файла обнаруживается, что у записи "classes.dex" в ZIP-архиве установлен флаг общего назначения "0x0809", который сигнализирует парсерам ZIP о наличии шифрования. Это приводит к тому, что такие инструменты, как jadx, apktool и библиотека Python "zipfile", отказываются извлекать файл, выдавая ошибки шифрования. Однако сами данные сжаты стандартным методом DEFLATE без какого-либо реального шифрования. Флаг является чисто косметическим и предназначен для срыва автоматизированных процессов анализа. После ручного извлечения DEX-файла конфигурация командного центра обнаруживается тривиально: вся она хранится в виде открытой строки в кодировке base64 без какой-либо дополнительной обфускации. Ни XOR, ни AES, ни шифрование строк не применяются исследование Certo Software. Простой поиск строк в извлечённом DEX-файле позволяет найти закодированную конфигурацию, которая после декодирования раскрывает хост сервера, токен аутентификации оператора, все строки пользовательского интерфейса для поддельного экрана настроек и режим работы клиента.
После установки соединения с сервером C2 через самоподписанный TLS-сертификат оператор получает доступ к обширной панели управления. Функционал включает в себя сеанс удалённого управления VNC в реальном времени с полной поддержкой сенсорного ввода, кейлоггер, записывающий все события через службу специальных возможностей с привязкой к исходному приложению и времени, и полный контроль над SMS. Поскольку имплант регистрируется в качестве обработчика SMS по умолчанию через манипуляции со службой специальных возможностей, входящие сообщения, включая одноразовые пароли и токены двухфакторной аутентификации, сначала попадают на панель управления оператора, а лишь затем - в мессенджер жертвы. Оператор также может отправлять SMS с номера жертвы.
Особое внимание привлекает функция «Оценка благосостояния», которая автоматически классифицирует установленные на устройстве приложения по категориям: Банки, Криптовалюта, Маркетплейсы, МФО (микрофинансовые организации и кредиты), Государственные сервисы и Чеки ОФД. Это даёт оператору мгновенную картину того, какие финансовые аккаунты представляют наибольший интерес для атаки. Появление таких высокоструктурированных MaaS-платформ для Android сигнализирует о росте профессионализации мобильного киберкриминала. Для защиты специалистам по информационной безопасности рекомендуется уделять повышенное внимание обучению пользователей распознаванию фишинга, внедрять решения для защиты мобильных устройств, способные обнаруживать аномальное поведение приложений, и применять строгие политики, ограничивающие установку ПО из неизвестных источников на корпоративных устройствах.
Индикаторы компрометации
IPv4
- 185.90.61.49
- 83.168.108.45
- 83.168.108.85
- 89.125.48.159
SHA256
- 69a81fe8b53c1f5fa37363e32a2ed867a0c808776bdae155fc118c2de94a321a
- d60d067c1239ec7db222ec18f7b8e20d85dd29ca5e8d4ddd86c55047374c3c48
- fecf484b0fb268b1a6867057769a3e805abfc0b506cd022d37e0e50a9401714e
