Операторы, стоящие за малварью BlackRock, вновь напомнили о себе, на этот раз банковским трояном ERMAC, первой жертвой которого стала Польша. Судя по данным исследований, в его основе лежит печально известный Cerberus.

«Новый троян уже активно распространяется, представляя угрозу для 378 банковских приложений и кошельков, которые атакует по принципу «оверлея». – сообщил исполнительный директор ThreatFabric Ченгиз Хан Сахин (Cengiz Han Sahin) в электронном заявлении.

В первых кампаниях, начавшихся в конце августа, ERMAC маскировался под приложение Google Chrome.

С тех пор поверхность атаки расширилась, охватив широкий спектр приложений из банковской среды, а также медиа-проигрыватели, службы доставки, приложения государственных услуг и даже антивирусные решения вроде McAfee.

Специалисты датской фирмы по кибербезопасности обнаружили на тематических форумах посты небезызвестного DukeEugene, размещенные им 17 августа. В своих сообщениях он призывает будущих клиентов «арендовать новый ботнет под Android с широкой функциональностью для ограниченного круга лиц» по цене $3,000/месяц.

DukeEugene также известен как оператор, стоящий за нашумевшей кампанией трояна BlackRock, всплывшего в июле 2020 года. Обладая множеством возможностей для кражи данных, этот инфостилер и кейлоггер стал наследником другого банковского зловреда под названием Xerxes, который, в свою очередь, стал отпрыском LokiBot, и чей исходный код автор раскрыл в мае 2019 года.

Что касается Cerberus, то его исходники были обнародованы в сентябре 2020 на андерграундных хакерских форумах в виде бесплатного трояна удаленного доступа (RAT), что последовало за безуспешным аукционом, на котором за разработку просили $100,000.

Представители ThreatFabric также отметили, что с момента выхода ERMAC перестали появляться новые образцы BlackRock. Это еще больше повышает вероятность того, что «DukeEugene переключился с использования BlackRock на ERMAC». Помимо общих черт с Cerberus, свежий штамм выделяется тем, что для связи с C&C сервером использует техники обфускации и схемы шифрования Blowfish.

ERMAC, как и его предок, а также прочие банковские вредоносы, спроектирован для кражи контактной информации, текстовых сообщений, запуска произвольных приложений и активации оверлей-атак на множество финансовых приложений с целью хищения данных авторизации. Кроме этого, в него добавлены новые возможности, позволяющие очищать кэш отдельного приложения и перехватывать сохраненные на устройстве аккаунты.

«История с ERMAC лишний раз демонстрирует, как утечки исходного кода вредоносов могут привести не только к медленному исчезновению семейства малвари, но и появлению новых злоумышленников в этой среде». – Сообщил один из исследователей. – «Несмотря на то, что новинка лишена некоторых мощных возможностей вроде RAT, она остается угрозой для пользователей мобильных банков и финансовых институтов по всему миру».

https://habr.com/ru/company/ruvds/news/t/580430/

Были куплены почти случайные телефоны, ориентируясь по визуальной составляющей интерфейса на фотографиях и в видеообзорах и немногочисленной информации о SoC в интернете:

Inoi 101 (RDA8826/SC6533, 600₽)

DEXP SD2810 (SC6531E, 699₽)

Itel it2160 (MT6261, 799₽)

Irbis SF63 (SC6531DA, 750₽)

F+ Flip 3 (SC6531DA, 1499₽)

Довольно быстро я осознал, что с телефонами что-то не так…

Для снятия прошивки я воспользовался взломанной версией Miracle Box. Также юыла использована базовая станция 2G — удобный и лёгкий в настройке метод массового практического анализа вредоносной активности без предварительной подготовки каждого устройства.

Метод даёт доступ ко всему сетевому трафику GSM/GPRS, с возможностью его просмотра и модификации на лету.

Моя конфигурация:

• bladeRF x115 ($650)

• Raspberry Pi 400 ($100)

• Открытое и бесплатное ПО базовой станции YateBTS

• Wireshark для анализа GSM и интернет-трафика

BladeRF питается от USB и не требует никакой дополнительной обвязки. Достаточно обычной дипольной антенны для начала работы.

Первое и самое «чистое» купленное устройство — Inoi 101.

Этот телефон не содержит вредоносных функций. Присутствуют типичные нежелательные вещи вроде меню СМС-подписок и платные игры, но устройство не выполняет какие-либо действия самовольно или скрытно.

Модель Itel it2160 сообщает «о продаже» через интернет, без предупреждения.

Flip 3 российского OEM-поставщика F+ cообщает «о факте продажи» через СМС на номер +79584971255, отсылая IMEI и IMSI в теле сообщения.

Я попытался получить подробности об этой функциональности у производителя. С компанией F+ состоялся следующий диалог:

Кнопочный телефон F+ Flip 3 в автоматическом режиме и незаметно для пользователя отправляет СМС-сообщения на номер +79584971255 при установке в него российских SIM-карт, причём отправленное СМС-сообщение не сохраняется в памяти телефона. Сообщения содержат IMEI-номер устройства, IMSI-номер SIM-карты, и три фиксированных значения.
…
Полный формат сообщения следующий: #IMSI#IMEI#250124#64#1# Где IMSI — IMSI-номер SIM-карты, IMEI — IMEI-номер телефона.
С какой целью данная функциональность внедрена в устройства F+?
>>> Нет информации.
Почему о ней не заявляется на официальном сайте, коробке или инструкции устройства?
>>> Потому что этот функционал внедрён не нашими инженерами.
Как обрабатываются полученные данные?
>>> Нет информации.
Какому юридическому или физическому лицу принадлежит номер +79584971255?
>>> Нет информации.
03.06.2021: Мы занимаемся решением данной проблемы. На новых ревизиях с новой прошивкой такой проблемы нет. Однако новая прошивка несовместима со старой ревизией телефонов. Как только в сервисе появится новая прошивка для старых ревизий я Вам сообщу.
15.06.2021: В сервисный центр поступила прошивка SW06 в которой решена эта проблема, обратитесь в ближайший сервисный центр из списка по ссылке https://fplusmobile.ru/support/ для перепрошивки Вашего телефона.

На просьбу выложить обновлённую версию прошивки в открытый доступ получил отказ и игнорирование дальнейших вопросов.

DEXP SD2810 от российского бренда сети магазинов DNS.

Опасный телефон, расходующий деньги мобильного счёта.

• Не содержит браузера, но подключается к GPRS

• Сообщает «о продаже» через интернет, без предупреждения

• Передаёт IMEI, IMSI

• Обращается к CnC в интернете и выполняет его команды

• Отправляет платные СМС на короткие номера с текстом, полученным с сервера

DEXP не ответил на запрос о вредоносной функциональности.

Модель SF63 от российского OEM-поставщика Irbis.

Опасный телефон, использующий номер вашего телефона в коммерческих целях, для регистрации сторонних лиц в интернет-сервисах.

• Не содержит браузера, но подключается к GPRS

• Сообщает «о продаже» через интернет, без предупреждения

• Передаёт зашифрованные данные на сервер

• Обращается к CnC в интернете и выполняет его команды

Результаты

4 из 5 телефонов содержат незадекларированную функциональность, из них:

• 2 модели расходуют деньги со счёта (отправляют данные после покупки через СМС/интернет);

• 1 модель выходит в интернет и отправляет платные СМС-сообщения на короткие номера;

• 1 модель пересылает входящие сообщения через интернет.

Кто виноват?

Прежде всего виноват бренд, под которым продаются телефоны. Бренд заказывает разработку самого устройства и прошивки для него у OEM-производителя, но не проверяет конечное устройство на наличие незадекларированных возможностей. По какой-то причине, многие бренды не выкладывают прошивку на сайт, а отправляют обновлять устройство в сервисный центр в случае проблем.

Бренды F+ и BQ отрицают проблему или умалчивают о ней.

OEM-производитель готов внедрить любой каприз бренда или производителя сторонних модулей, за ваши же деньги.

Отсутствие в России специализированного министерства, которое бы занималось подобными проблемами. Минцифры (бывший Минсвязи) проверяют только сертификацию продукции на соответствие мировым и российским стандартам связи, но не функциональность конечного устройства.

Минцифры порекомендовало обращаться в Роспотребнадзор, перенеся проблему в плоскость продавец-покупатель.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации [...] рассмотрело Ваше обращение о производителе оборудования ООО «Ф-Плюс Мобайл» и сообщает следующее.
Согласно Положению, Минцифры России осуществляет функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере связи [...]
Информируем, что средства связи, указанные в Вашем первоначальном обращении, прошли процедуру обязательного подтверждения соответствия Правилам применения оборудования радиодоступа. [...]
Следует отметить, что в соответствии с Правилами при декларировании телефонных аппаратов для сетей подвижной радиотелефонной связи проверка наличия или отсутствия отправки коротких сообщений в автоматическом режиме не предусмотрена.
Федеральный государственный надзор в области защиты прав потребителей осуществляется уполномоченным федеральным органом исполнительной власти – Федеральной службой по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор).

Что делать?

Мобильных телефонов огромное количество, проверить их все невозможно.

Покупайте только проверенные мировые бренды: телефоны Nokia не содержат вредоносной функциональности, но и стоят в 2-4 раза дороже «отечественных» аналогов;

Читайте отзывы перед покупкой: лучше купить проверенную модель, давно присутствующую на рынке, с безупречной репутацией, чем рисковать с новинками;

Отслеживайте поведение нового телефона после покупки в течение суток, по детализации оператора;

Пишите в Роспотребнадзор, ФСБ (?) и производителю, если обнаружили непонятную активность.

https://habr.com/ru/post/575626/

upd:

https://habr.com/ru/post/575626/comments/#comment_23437702
Считать-то можно, только толку-то: Nokia 8110 4G тоже что-то слал, раз в несколько дней. Слал даже при отключённом интернет-соединении и не сконфигурированных профилях, по 15 рублей за попытку…

Где-то на яндекс.маркете мой отзыв с одной звездой лежит в том числе и по этому поводу (можете поискать, там у меня аватар такой же как и тут, ссылку же на коммент яндекс скопировать не даёт)

Перепечатка статьи с Хабра (вернее с ее копии), которая была удалена, где освещалась проблема того, что Win 10 Tweaker с осени 2020 года был, оказывается, интегрирован самый обычный бэкдор с возможностью исполнения зловредного кода, выполняющегося от имени администратора. Ресурс с которого скачивался зловредный код в открытом виде располагался на https://win10tweaker.com/PrivilegeUser.php?key=Universal. Но автор уже закрыл доступ к нему и с выходом версии 17.3 beta "согласился" якобы удалить функционал бэкдора.

Но интернет всё помнит

https://web.archive.org/web/20210426181446/https://win10twea...

• Скачиваем с сайта последнюю версию программы. Сейчас скачивается версия 17.2, SHA-256: 06DB5801D37895C75B7D60FA5971827DA80CC275D9E78E5986A120C003021A0D;

• Выяснилось, что, чтобы вызвать скачивание удаленного кода, надо просто создать в %LOCALAPPDATA% папку Turbo.net, а внутри — просто пустой файл System.Deps.dll;

• Запускаем Win 10 Tweaker и принимаем правой кнопкой соглашение;

• Хватит лишь открытия раздела "Системная информация", где можно получить сведения о характеристиках ПК;

• Сразу с ресурса, указанного выше, через бэкдор в открытом виде скачивается и исполняется код, написанный на C#, который прописывает в реестре в раздел автозагрузки для всех пользователей ключи на удаление первых 50 установленных программ. При первом выходе/входе из учетной записи или перезагрузке эти программы запустят свои деинсталляторы.

Пикабу не позволяет вставлять код в статью, поэтому ссылку на зловредный код разместил на pastebin:

https://pastebin.com/kPBKc5pu

Разберем по-быстрому код.

• Берется путь профиля и присобачивается к нему "\\AppData\\Local\\Turbo.net";

• Если имеется папка Turbo.net, то по маске *.* рекурсивно ищется файл System.Deps.dll;

• Если такой на вашу беду находится, то получаем значения ключей UninstallString в разделе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall. В этом параметре хранится команда для деинсталляции программ. Собственно, именно эта команда запускается, когда вы удаляете в Windows любую программу, если ее деинсталлятор прописывается в системе.

• Сохраняем полученные строки и записываем первые 50 команд на удаление в автозагрузку для всех пользователей. Отныне при первой перезагрузке запустят свои деинсталляторы те программы, у которых есть свойство UninstallString.

Сохраненная ссылка на Wayback Machine, если "чудотворным" образом ресурс будет недоступен. Кстати, тот же зловредный код расположен и на домене https://win10tweaker.ru/PrivilegeUser.php?key=Universal.

Скажите спасибо, что не в тихом режиме все удаляется, и окошки с уведомлением об удалении будут видны в любом случае.

Осенью же на этом ресурсе располагался другой код, устанавливающий пароль на учетную запись. Пароль, как нетрудно догадаться, глядя на код, был Rock5taR. То есть ресурс один, а зловредный код иногда да и меняется.

https://pastebin.com/KuEnEcEH

Автор сам признал, что у программы была незадокументированная возможность, Соглашение, принимаемое перед использованием программы, позволяет ему делать, что угодно.

Автор заявляет о портативности программы, что на самом деле не так: чего только стоит создание неудаляемого ключа в реестре по пути HKCU\Software\Win 10 Tweaker, так как программа меняет права доступа на этот раздел.

Видео с одним из вариантов, как удалить ключ.

Уже после опубликования статьи другой пользователь доказал на видео, что, получи злоумышленники доступ к ресурсу, где размещался зловредный код, и можно было осуществить перенаправление трафика уже на их ресурс с другим зловредным кодом

Остается тайной, зачем автор в борьбе с пиратами, беря за программу в том числе и плату, интегрировал туда самый обычный бэкдор. И кто знает, что еще она в себе таит… Выводы, как всегда, делать только вам.

Разработчик трояна считает, что всё сделал правильно, мы все убоги и, оказывается, завидуем его успеху, а этот "инцидент" — жирный намек.

Kaspersky уже детектит версию 17.2 как бэкдор.

Хауди Хо, который когда-то рекламировал Win 10 Tweaker уже скрыл своё видео, написав пост в группе в Telegram. После выпустил ролик с призывом не пользоваться этим трояном, но после угроз от Хачатура (автора трояна) скрыл кусок уже опубликованного ролика.

Стас "Ай, как просто" тоже выпустил ролик, где извиняется перед аудиторией, что когда-то тоже рекламировал этот троян (с привязкой ко времени). Но Хачатур уже готовит иск к нему.

И напоследок мякотка: обсуждение на форуме трояна ролика Стаса Ай, как просто: https://win10tweaker.pro/forum/topic/опять-клевета

На его форуме вообще тоталитарная секта. И особенно доставляет, как автор Win 10 Tweaker пишет "я" и "мне" в середине предложения с большой буквы. xD