Check Point Research odhalil dvojici hackerů, kteří vyvíjí a prodávají na dark netu mobilní malware. Hackeři s přezdívkami Triangulum a HeXaGoN Dev navíc vytvořili nový malware Rogue, který umožňuje převzít kontrolu nad napadeným zařízením a krást data jako fotografie, informace o poloze, kontakty a zprávy.
A story about a mastermind's network of Android mobile malware development discovered recently on the dark net. https://t.co/z32zaaBubU
— Check Point Research (@_CPResearch_) January 13, 2021
Triangulum je 25letý a 190 cm vysoký muž, který v roce 2017 choval dvě želvy, měl přítelkyni a poprvé se připojil k dark netu. Vyniká sociálními a matematickými dovednostmi a jeho prvním produktem byl mobilní RAT (Remote Access Trojan), který je schopen krást data z C&C serveru a ničit lokální data – dokonce mazat i celé operační systémy. O čtyři měsíce později začal Triangulum prodávat svůj první malware pro Android, který nazval Cosmos. Na začátku nebylo snadné najít stopy vedoucí k tomuto kyberútočníkovi. Ale jakmile byly rozkryty první střípky mozaiky, bylo relativně snadné ho dále sledovat a zjistit o něm další podrobnosti.
Triangulum zmizel ze scény na téměř 1,5 roku a vrátil se až 6. dubna 2019 s novým produktem. Následně byl velmi aktivní a snažil se prodávat nejrůznější kyberhrozby. Je pravděpodobné, že pauzu Triangulum využil pro budování strategie a procesů pro vývoj a distribuci škodlivých kódů pro Android.
Spolupráce marketéra a vývojáře
Triangulum začal spolupracovat také s dalším hackerem s přezdívkou HexaGoN Dev, který se zaměřuje na vývoj malwarových hrozeb pro operační systém Android. Zjednodušeně můžeme říci, že Triangulum se zaměřuje na marketing, propagaci a prodej hrozeb na dark netu a HexaGoN Dev se věnuje technickému vývoji. V minulosti Triangulum zakoupil několik projektů vytvořených právě HeXaGoN Dev, což byl počátek pozdější spolupráce. Kombinace programovacích schopností HeXaGon Dev a marketingových a sociálních dovedností Triangulum představuje vážnou hrozbu. Společně vytvořili a distribuovali několik variant mobilních malwarů pro Android, včetně kryptominerů, keyloggerů a sofistikovaných P2P (Phone to Phone) MRAT. Triangulum propaguje produkty na různých fórech dark netu a vytváří i atraktivní grafické materiály a infografiky. Za několik desítek dolarů si tak lze koupit hrozby včetně administrativních nástrojů.
DarkShades navazuje na malware Cosmos, útočníkům navíc umožňuje zneužít napadené zařízení k nahrávání zvuku a pořizování fotografií. Rogue je novější malware, který navíc umí odesílat i falešná oznámení nebo získat práva pro správce zařízení.
Malware Rogue: „Opravdu chcete smazat všechna data?“
Triangulum a HeXaGoN Dev spolupracovali na vytvoření malwaru Rogue a jeho prodeji na dark netu. Rogue je součástí rodiny MRAT (Mobile Remote Access Trojan) a může získat kontrolu nad napadeným zařízením a krást jakákoli data, jako jsou fotografie, poloha, kontakty a zprávy, upravovat soubory v zařízení a stahovat další škodlivý obsah. Jakmile Rogue získá všechna požadovaná oprávnění, skryje svou ikonu před uživatelem, aby na sebe neupozorňoval a nebylo snadné ho odstranit. Pokud nejsou udělena všechna požadovaná oprávnění, bude uživatele opakovaně žádat o jejich udělení. Malware se následně registruje jako správce zařízení a pokud se uživatel pokusí oprávnění odebrat, zobrazí se na obrazovce zpráva: „Opravdu chcete smazat všechna data?“
Aby zamaskoval své zákeřné úmysly a mohl se vydávat za legitimní službu Google, využívá platformu Firebase, tedy služby Google pro aplikace. Konkrétně se jedná o C&C server, takže všechny příkazy, které ovládají malware, a všechny informace ukradené malwarem, jsou doručovány pomocí infrastruktury Firebase.
„Prodejci mobilního malwaru jsou velmi vynalézaví. Na dark netu si tak může kdokoli relativně snadno koupit nějakou hrozbu a stát se kyberzločincem, aniž by to vyžadovalo nějaké speciální technické znalosti. Hackeři nabízí i nejrůznější balíčky, slevy a podporu a kopírují tak klasické prodejní akce, které známe z reálného světa. Snažíme se rozkrývat vývoj malwaru i taktiky hackerů a zároveň varovat organizace i uživatele a ukázat, jak těžké je nyní efektivně sledovat, klasifikovat a chránit se před všemi hrozbami. Navíc dark net je zaplaven různými falešnými produkty, což komplikuje analýzu, co je skutečnou hrozbou a co ne,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point.
Jak se chránit před mobilním malwarem?
- Aktualizujte svůj operační systém. Mobilní zařízení by měla vždy používat nejnovější verzi operačního systému, aby nemohlo dojít ke zneužití známých zranitelností.
- Instalujte pouze aplikace z oficiálních obchodů s aplikacemi. Snižuje to pravděpodobnost neúmyslné instalace mobilního malwaru nebo škodlivé aplikace.
- Povolte funkci „vzdáleného vymazání“ na všech mobilních zařízeních. Všechna zařízení by měla mít povoleno vzdálené vymazání, aby se minimalizovala pravděpodobnost ztráty citlivých dat.
- Nedůvěřujte veřejným Wi-Fi sítím. Hackeři mohou veřejné Wi-Fi sítě zneužít k útokům a proniknutí do zařízení. Využívejte proto jen důvěryhodné Wi-Fi a mobilní sítě, zmenšíte riziko kyberútoku.
- Používejte mobilní zabezpečení. Odborníci doporučují nasadit pokročilé mobilní bezpečnostní řešení s integrovaným antivirem a detekcí hrozeb.
Více informací najdete v analýze kyberbezpečnostní společnosti Check Point.
