Вредоносное приложение RedAlert — Rocket Alerts нацелено на израильские телефонные звонки, SMS и пользовательскую информацию

13 октября 2023 года команде Cloudforce One Threat Operations компании Cloudflare стало известно о веб-сайте, на котором размещено приложение Google Android (APK), выдающее себя за законное приложение RedAlert — Rocket Alerts (https://play.google.com/store/apps/details? id=com.red.alert&hl=en&pli=1). С момента начала атак Хамаса 7 октября 2023 года по Израилю было запущено более 5000 ракет. RedAlert — система оповещений о ракетах, разработанная Elad Nava, позволяет людям получать своевременные и точные оповещения о предстоящих авиаударах. Многие люди, живущие в Израиле, полагаются на эти оповещения в поисках безопасности – услуга, которая становится все более важной с учетом новейшей эскалации ситуации в регионе.

Приложения, предупреждающие о приближающихся авиаударах, стали мишенью, поскольку всего несколько дней назад пропалестинская хактивистская группа AnonGhost воспользовалась уязвимостью в другом приложении «Red Alert: Israel» Коби Снира. (https://cybernews.com/cyber-war/israel-redalert-breached-anonghost-hamas/) Их эксплойт позволил им перехватывать запросы, раскрывать серверы и API, а также отправлять ложные оповещения некоторым пользователям приложений, включая сообщение, «Ядерная бомба приближается». AnonGhost также заявил, что они атаковали другие приложения для оповещения о ракетах, в том числе RedAlert от Elad Nava. Сообщается, что по состоянию на 11 октября 2023 года приложение RedAlert работало нормально.

За последние два дня появился новый вредоносный сайт (hxxps://redalerts[.]мне) рекламировал загрузку известного приложения с открытым исходным кодом RedAlert от Elad Nava (https://github.com/eladnava/redalert-android). Выдача себя за домен продолжает оставаться популярным вектором для злоумышленников, так как законный веб-сайт приложения (hxxps://redalert[.]мне ) отличается от вредоносного сайта всего одной буквой. Кроме того, злоумышленники продолжают использовать открытый исходный код и распространять модифицированные вредоносные версии среди ничего не подозревающих пользователей.

На вредоносном веб-сайте размещались ссылки на версию приложения RedAlert для iOS и Android. Но хотя ссылка на Apple App Store ссылается на законную версию приложения RedAlert от Элада Нава, ссылка, предположительно ссылающаяся на версию Android, размещенную в Play Store, напрямую загружает вредоносный APK-файл. Эта атака демонстрирует опасность загрузки неопубликованных приложений непосредственно из Интернета, а не установки приложений из одобренного магазина приложений.

Вредоносная версия RedAlert имитирует законное приложение для оповещения о ракетах, но одновременно собирает конфиденциальные пользовательские данные. Дополнительные разрешения, запрашиваемые вредоносным приложением, включают доступ к контактам, журналам вызовов, SMS, информации об учетной записи, а также обзор всех установленных приложений.

Сайт, на котором размещен вредоносный файл, был создан 12 октября 2023 года и с тех пор отключен от сети. Это затрагивает только пользователей, которые установили версию приложения для Android с этого конкретного веб-сайта, и им рекомендуется срочно удалить приложение. Пользователи могут определить, установили ли они вредоносную версию, просмотрев разрешения, предоставленные приложению RedAlert. Если пользователи не уверены, установили ли они вредоносную версию, они могут удалить приложения RedAlert и переустановить легитимную версию прямо в Play Store.

Анализ вредоносного пакета Android (APK)

Вредоносный файл Android Package Kit (APK) устанавливается пользователем, когда он нажимает кнопку Google Play на поддельном сайте RedAlert. После нажатия пользователь загружает приложение прямо с поддельного сайта по адресу hxxps://redalerts[.]me/app.apk. Хэш SHA-256 APK: 5087a896360f5d99fbf4eb859c824d19eb6fa358387bf6c2c5e836f7927921c5.

Возможности

Быстрый анализ AndroidManifest.xml Файл показывает несколько отличий от законного приложения RedAlert с открытым исходным кодом. Наиболее примечательными являются дополнительные разрешения, необходимые для сбора информации о жертве. Добавленные разрешения перечислены ниже:

• android.permission.GET_ACCOUNTS
• android.permission.QUERY_ALL_PACKAGES
• android.permission.READ_CALL_LOG
• android.permission.READ_CONTACTS
• android.permission.READ_PHONE_NUMBERS
• android.permission.READ_PHONE_STATE
• android.permission.READ_PRIVILEGED_PHONE_STATE
• android.permission.READ_SMS

Приложение спроектировано так, чтобы выглядеть и действовать как RedAlert. Однако при открытии приложения в фоновом режиме запускается вредоносная служба. startService() звонок — единственное изменение в onCreate() метод, и с этого начинается последовательность вредоносной активности, которую злоумышленник поместил в пакет под названием com.company.allinclusive.AI

Служба запускается для сбора данных с телефонов жертв и загрузки их на защищенный сервер злоумышленника. Данные обширны и включают в себя:

• Информация о SIM-карте, включая номера IMEI и IMSI, тип сети, страну, номер голосовой почты, статус PIN-кода и многое другое.
• Полный список контактов
• Все SMS-сообщения, включая контент и метаданные для всех статусов (например, полученные, исходящие, отправленные и т. д.)
• Список учетных записей, связанных с устройством
• Все телефонные звонки и сведения о разговорах, включая входящие, исходящие, пропущенные, отклоненные и заблокированные вызовы.
• Авторизованные учетные записи электронной почты и приложений
• Список установленных приложений

Код актера для сбора этой информации показан ниже.

Украденные данные загружаются на HTTP-сервер по жестко запрограммированному IP-адресу. У актера есть Инструменты класс, который детализирует IP-адрес, куда должны быть загружены данные:

Несмотря на то, что указаны HTTP и порт 80, субъект, похоже, имеет возможность использовать HTTPS и порт 443, если сертификат обнаружен в пакете приложения:

Данные загружаются через Разъем класс, написанный актером. Разъем отвечает за шифрование украденных данных и их загрузку на HTTP-сервер. В этом примере файлы шифруются с помощью AES в режиме CBC с дополнением PKCS5. Ключи генерируются случайным образом и добавляются к упакованным данным, однако ключи шифруются с помощью RSA с использованием открытого ключа, включенного во вредоносное приложение. Из-за этого любой, кто сможет перехватить украденные данные, не сможет расшифровать их без закрытого ключа злоумышленника.

Зашифрованные файлы имеют имена, похожие на _<ДАТА>.finalкоторые содержат:

• _<ДАТА>.enc (зашифрованные данные)
• _<ДАТА>.param (Параметры шифрования AES, например ключ и IV)
• _<ДАТА>.eparam (Параметры RSA, например, открытый ключ)

Возможности антианализа во время выполнения

Чтобы избежать обнаружения, злоумышленник включил функции антианализа, которые могут запускаться во время запуска приложения. Злоумышленник использовал методы антианализа: операции антиотладки, антиэмуляции и антитестирования.

Анти-отладка

Приложение выполняет простой вызов, используя встроенный android.os.Debug package, чтобы узнать, отлаживается ли приложение.

Антиэмуляция

Приложение пытается найти определенные файлы и идентификаторы, чтобы определить, запускается ли оно в эмулируемой среде. Фрагмент этих показателей показан ниже:

Анти-Тест

В приложении есть утилиты, позволяющие определить, использует ли приложение тестовый пользователь («обезьяна»):

Все эти методологии представляют собой элементарную проверку того, находится ли приложение в процессе анализа во время выполнения. Однако это не защищает вредоносный код от статического анализа.

Как обнаружить это вредоносное ПО на вашем устройстве

Если вы установили RedAlert на свое устройство, дополнительные разрешения, добавленные субъектом, могут использоваться для определения того, подверглись ли вы риску. Следующие разрешения, появляющиеся в приложении RedAlert (независимо от того, включены они или нет), указывают на компрометацию:

• Журналы вызовов
• Контакты
• Телефон
• SMS

Как защитить себя

Вы можете избежать подобных атак, следуя приведенным ниже инструкциям:

• Постоянно обновляйте свое мобильное устройство до последней версии программного обеспечения.
• Рассмотрите возможность использования Cloudflare Teams (с Cloudflare Gateway).
• Избегайте использования сторонних магазинов мобильных приложений.
• Никогда не устанавливайте приложения с URL-адресов Интернета и не загружайте неопубликованные полезные нагрузки.
• Рассмотрите возможность использования семейной версии 1.1.1.1 для блокировки вредоносных доменов в вашей сети.

МОК

Тип	Индикатор
URL загрузки вредоносного RedAlert APK	hxxp://редалерты[.]я/app.apk
Вредоносный RedAlert APK Управление и контроль	hxxp://23.254.228[.]135:80/file.php
Вредоносный RedAlert APK	5087a896360f5d99fbf4eb859c824d19eb6fa358387bf6c2c5e836f7927921c5
Открытый ключ, RSA/ECB/PKCS1Padding	MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAvBYe8dLw1TVH39EVQEwCr7kgBRtQz2M2vQbgkbr0UiTFm0Tk9KVZ1jn0uVgJ+dh1I7uuIfzFEopFQ35OxRnjmNAJsOYpYA5ZvD2llS+ KUyE4TRJZGh+dfGjc98dCGCVW9aPVuyfciFNpzGU+lUV/nIbi8xmHOSzho+GZvrRWNDvJqmX7Xunjr1crAKIpG1kF8bpa9+VkoKnMOqFBTc6aPEmwj4CmeTsTy+j7ubdKc8tsdoCTGfrLzVj4w lGDjtf06dYEtZ6zvdBbzb4UA6Ilxsb12KY03qdlqlFREqCxjtJUYDEYChnpOSkrzpLOu+TTkAlW68+u6JjgE8AAAnjpIGRRNvuj5ZfTS3Ub3xEABBRUuHcesseuaN3wVwvMBIMbWJabVUWUNWYy Cewxrtdrc8HStECbS/b05j2lv6Cl1Qv1iQefurL/hvfREmxlHANkCmzTxlrESTHHnNmhWOccQI+u0VO6klJShNg8XlRsKXnqpPi3aicki+QMo3i1oWOve6aWkAIJvmHaY4Gmz0nX2foxlJ2Yx OGQe0rUAqDXa8S6tYSmIyCYJoTmllvwJAEpCtOFxerZIAa/1BaxYFhH/iQUzzayJuc6ooUmKLw7q72pe3tN0cRT3RAJUmRwTcV5hL+UQgakkSzIMFBpM/rpvNC0Qy94mtpNf6iA6gbKm40CAw ЕААК==

---

Под атакой? Свяжитесь с нашей горячей линией, чтобы немедленно поговорить с кем-нибудь.Посещать 1.1.1.1 с любого устройства, чтобы начать работу с нашим бесплатным приложением, которое сделает ваш Интернет быстрее и безопаснее. Чтобы узнать больше о нашей миссии по созданию лучшего Интернета, начните здесь. Если вы ищете новое направление карьеры, посетите наши открытые позиции.