Когда разработчики создают мобильные приложения, они не только реализуют функциональность, но также встраивают сторонние SDK-пакеты для отображения рекламы, сбора аналитических данных и многих других побочных целей. Одной из важных функций SDK является обмен с центром управления для получения команд и контента. Как обнаружили исследователи, многие из этих C&C-серверов давно не используются, а соответствующие домены можно выкупить у GoDaddy и других регистраторов. Такое положение дел предоставляет хорошую возможность инициаторам атак, которые могут задешево приобрести эти домены и раздавать вредоносный код на уязвимые Android- и iOS-устройства.

«Сотни компаний, предлагавших эти SDK, начинали как стартапы, однако многие из них уже прекратили свое существование, и никто больше не поддерживает эту инфраструктуру, — поясняет Чжи Сюй (Zhi Xu), который вместе с экспертом Palo Alto Networks Тун-бо Ло (Tongbo Luo) осветил эту проблему на международной конференции Virus Bulletin. — При отсутствии обслуживания приложения, в состав которых включены эти SDK, стараются подключиться к мастер-серверу для получения команд, но ответа не получают. По окончании срока регистрации домена злоумышленник может попытаться завладеть этим доменом и инфраструктурой с тем, чтобы рассылать вредоносные команды и контент».

Исследователи опубликовали статью под названием «Beware! Zombies Are Coming» («Остерегайтесь нашествия зомби»), в которой не только рассмотрели риски, но также указали число заброшенных доменов. Сюй уточнил, что в ходе исследования они проанализировали 2,8 млн образцов APK-файлов, использующих 575 тыс. уникальных корневых доменов. Из них 65 тыс. доменов в настоящее время бездействуют, причем 33 тыс. GoDaddy выставил на продажу.

Исследователи также изучили поведение легитимных и вредоносных программ-клиентов, вызывающих мастер-сервер по заданному протоколу. Как оказалось, их поведение в целом одинаково: их интересуют такие сервисы, как управление телефонным вызовом, службы геолокации, SMS, управление аккаунтами и т.п. «Хороши они или плохи, решает тот, кто контролирует мастер-домен», — отметил Сюй.

Если злоумышленник приобретет зомби-домен и установит свой контроль, он сможет заново реализовать канал передачи данных и получить те же привилегии, которыми пользовался прежний администратор. Так, агрессивные библиотеки рекламы могут начать собирать информацию о местоположении пользователя, кроме данных об устройстве (его тип, IMSI), необходимых для корректного отображения рекламы и контента на телефоне. Атакующий также получит возможность автоматически устанавливать вредоносные приложения и модули на устройства, используя этот канал, а также включить JavaScript в составе Webview для загрузки рекламы, в том числе фишинговой, или для удаленного исполнения кода.

Ло со своей стороны предупредил, что домены, контролирующие мобильные приложения HTML5, потенциально более опасны, так как поддерживают внедрение и исполнение JavaScript-программ через этот канал или с помощью кросс-платформенного многофункционального ПО, такого как PhoneGap, RhoMobile и проч. Ло также отметил, что PhoneGap, к примеру, устанавливает плагины, поддерживающие передачу файлов, интерфейсы email и SMS, исполнение кода по шелл-команде и функциональность LaunchMyApp.

Исследователи обнаружили, что одно потенциально опасное приложение, RogueSports, которое до сих пор доступно на Google Play, в App Store и на маркетплейсах Windows Phone, не обновлялось с 2014 года и может быть приобретено у GoDaddy за $12. Инициаторы атаки могут внедрить написанный на JavaScript вредоносный код, который исполнится на устройстве и позволит встраивать iFrame, воровать идентификаторы и другие данные, а также запускать на исполнение зловредов.

«Важно осознать, что легитимная командная инфраструктура SDK может составлять угрозу, — подчеркнул Сюй. — Прежде чем вынести приложению вердикт, следует проверить каждый его компонент, в том числе SDK, на предмет вредоносности, особенно в тех случаях, когда C&C оставлен без присмотра».

Категории: Аналитика, Вредоносные программы, Главное