Бизнес-модель итальянской компании Hacking Team, чью украденную базу продолжают анализировать эксперты по безопасности, уже окрестили MaaS – “вредоносный код как услуга”. Очередная порция технической документации свидетельствует о том, что они создали самый продвинутый бэкдор для ОС Android. Теперь исходный код RCSAndroid попал в сеть, и на его основе даже начинающие программисты могут создать свои модификации.

Анализ переписки руководства Hacking Team показывает, что RCSAndroid активно использовался как минимум с 2012 года. Для его внедрения использовались разные техники. Например, под видом новостного приложения он спокойно загружался из официального магазина Google Play, обходя антивирусные фильтры.

Автоматический анализ приложений на GooglePlay обходится с помощью обфускации кода (изображение: 3.f.ix.de).
Автоматический анализ приложений на GooglePlay обходится с помощью обфускации кода (изображение: 3.f.ix.de).

Англоязычная версия называлась BeNews, а предназначенная для жителей Саудовской Аравии – Qatif Today. Сколько всего было модификаций, мы уже вряд ли узнаем. Все они использовались для многоуровневого заражения смартфонов и планшетов, позволяя следить за их владельцами и перехватывать сообщения. Вот краткий список основных возможностей бэкдора:

  • захват скриншотов с помощью команды “ScreenCap”;
  • прямое чтение кадрового буфера;
  • мониторинг и просмотр содержимого буфера обмена;
  • cбор паролей для подключения к точкам доступа Wi-Fi;
  • сбор данных для аутентификации в сервисах онлайн-банкинга;
  • получение и декодирование любых данных из мессенджеров, включая Skype, Hangouts, Viber, Line, WhatsApp, WeChat, Telegram и BlackBerry Messenger;
  • сбор переписки и данных из профилей соцсетей, включая Facebook, Twitter, Google Plus и LinkedIn;
  • перехват сообщений SMS, MMS и электронной почты;
  • захват в режиме реального времени всех голосовых вызовов из любой сети (через получение контроля над службой «медиасервер»);
  • скрытая запись звука со встроенного микрофона;
  • выполнение скрытой фотосъёмки и видеозаписи с тыловой или фронтальной камеры;
  • перехват нажатий экранной клавиатуры через библиотеку libinjection;
  • определение приблизительного местоположения по сигналу сотовой сети и точного по данным приёмника GPS;
  • чтение адресной книги;
  • считывание записей из календаря;
  • чтение истории посещённых страниц и поисковых запросов;
  • сбор служебной информации об устройстве.

По требованию заказчика (обычно в его роли выступали представители спецслужб и других правительственных организаций) в бэкдор могли быть внедрены более узкоспециализированные функции, учитывающие язык и особенности поведения целевой аудитории.

Qatif Today - чем будем инфицировать сегодня?
Qatif Today – чем будем инфицировать сегодня?

Скачивание заражённого приложения с обфускацией кода – далеко не единственный способ незаметно подсунуть троянскую компоненту. Другие методики внедрения бэкдора уже мало зависели от действий потенциальных жертв. Они инфицировали мобильное устройство при его подключении к заражённому компьютеру (Hacking Team создала набор инфицирующих модулей для разных платформ), или использовали ошибки в стандартных компонентах прошивок. Чаще всего это был встроенный браузер или одна из служб Google. В частности, использовались эксплоиты CVE-2012-2825 и CVE-2012-2871, а также уязвимости нулевого дня. Более того, если на смартфоне или планшете отсутствовали права суперпользователя, в ряде случаев для внедрения RCSAndroid автоматически выполнялось их рутирование.

Разные механизмы внедрения помогали бэкдору беспрепятственно инфицировать даже кастомные версии прошивок, а постоянные обновления поддерживали его совместимость как со старыми, так и с последними версиями ОС. На момент взлома Hacking Team активно шла работа над поддержкой пятой версии «Андроида». Эксперты TrendMicro уже назвали RCSAndroid самой сложной угрозой для мобильных ОС.

Как минимум два года активной эксплуатации об этом бэкдоре вообще не было никаких сведений. Лишь в середине прошлого года специалисты Citizen Lab из университета Торонто смогли изучить образец «в диком виде» и определить характер его использования в Саудовской Аравии. Дальнейшее изучение велось совместно с экспертами «Лаборатории Касперского», Trend Micro и других разработчиков антивирусных программ.

Схема работы RSCAndroid (изображение: citizenlab.org).
Схема работы RSCAndroid (изображение: citizenlab.org).

Совместными усилиями они выяснили, что RСSAndroid был лишь верхушкой айсберга. Бэкдоры с подобным функционалом выпускались Hacking Team и для распространённых мобильных ОС, включая iOS, Windows Mobile, Symbian и BlackBerry. Заражение аналогичным бэкдором устройств Apple происходило после проверки их статуса и выполнения jailbreak при необходимости. На принадлежность найденных бэкдоров к общему семейству указывают метаданные, повторяющиеся фрагменты конфигурационных файлов и общий вид запросов/ответов к серверам удалённого управления.

Всего было обнаружено 326 командных серверов, собирающих данные с протрояненных мобильных устройств. Физически они находятся по всему миру, но примерно одна пятая из них расположена в США. На втором месте почему-то оказался Казахстан. Львиная доля приходится на территорию Европы, а единичные C&C серверы разбросаны по всем континентам, за исключением Антарктиды.

Расположение командных серверов Hacking Team (изображение: securelist.com).
Расположение командных серверов Hacking Team (изображение: securelist.com).

За техническими подробностями отсылаю к русскоязычной версии блога SecureList, где можно найти фрагменты дизассемблированного кода, конфигурационных файлов и другие детали с комментариями экспертов. Исследование RСSAndroid продолжается, но уже сейчас понятно, что это бэкдор высшего уровня – с огромной функциональностью, поддержкой множества платформ, развитыми механизмами инфицирования и целой сетевой инфраструктурой для скрытого сбора любой информации с заражённых устройств.

С одной стороны, доступность его исходных кодов в связи со взломом Hacking Team поможет привлечь независимых исследователей для создания более эффективных инструментов противодействия и разработки превентивных мер. С другой стороны, эти исходники вызовут интерес вирусописателей и станут для них отличной подсказкой при создании новых троянов, руткитов и других типов вредоносного софта. Извечное противостояние щита и меча просто переходит на новый уровень.