Rotexy. Как действовал один из опаснейших троянов 2020 года

Содержание статьи

• Как проходит атака
• Распространение
• Статистика активности
• Детектирование
• Основная функциональность
• Мертвый код
• Прокси-методы
• Шифрование строк
• Работа вредоносной программы
• Запуск
• Сервисы
• Взаимодействие с сервером управления
• Заключение

С момен­та появ­ления тро­яна Rotexy центр реаги­рова­ния на компь­ютер­ные инци­ден­ты BI.ZONE заб­локиро­вал более 1000 домен­ных имен, которые зло­умыш­ленни­ки исполь­зовали в качес­тве сер­веров управле­ния. Все это вре­мя мы вни­матель­но отсле­жива­ли деятель­ность извес­тно­го вре­доно­са для Android. В этой статье (наде­емся, что эпи­тафии) рас­ска­жем об активнос­ти Rotexy в пос­ледние годы и пос­мотрим, как он устро­ен.

Rotexy, помесь бан­кера и вымога­теля, появил­ся в 2018 году и про­вел десят­ки тысяч атак на поль­зовате­лей в Рос­сии. В течение все­го 2020 года активность вре­доно­са пос­тоян­но сни­жалась, но в октябре — нояб­ре мы сно­ва зафик­сирова­ли рост. Воп­рос, будет ли неког­да один из самых замет­ных бан­ков­ских тро­янов акти­вен вновь, пока оста­ется откры­тым.

Как проходит атака

Rotexy рас­простра­няет­ся, мас­киру­ясь под при­ложе­ния популяр­ных тор­говых онлайн‑пло­щадок. Ата­ка начина­ется впол­не обы­ден­но: на телефон потен­циаль­ной жер­твы при­ходит СМС, которое приг­лаша­ет открыть вре­донос­ную ссыл­ку, внеш­не похожую на адрес той или иной тор­говой пло­щад­ки. По ссыл­ке заг­ружа­ется бан­ков­ский тро­ян. Инте­рес­но, что по коман­де зло­умыш­ленни­ков такие фишин­говые сооб­щения рас­простра­няют ранее заражен­ные устрой­ства.

Фун­кции бан­кера зак­люча­ются в том, что Rotexy побуж­дает жер­тву ввес­ти дан­ные бан­ков­ской кар­ты на фишин­говой стра­нице. Так­же трой дей­ству­ет как вымога­тель: он может заб­локиро­вать экран устрой­ства жер­твы по коман­де с управля­юще­го сер­вера. В боль­шинс­тве таких слу­чаев отоб­ража­ется стра­ница с сооб­щени­ем о том, что для раз­бло­киров­ки экра­на необ­ходимо «опла­тить штраф» за прос­мотр кон­тента (нап­ример, пор­ногра­фичес­кого).

Распространение

В пос­леднее вре­мя опе­рато­ры Rotexy край­не изби­ратель­но отно­сились к рас­простра­нению сво­ей вре­донос­ной прог­раммы. Пос­ле перехо­да поль­зовате­ля по вре­донос­ной ссыл­ке из СМС зло­умыш­ленни­ки про­веря­ли User-Agent его устрой­ства. И толь­ко если девайс ока­зывал­ся мобиль­ным, заг­ружалась вре­донос­ная прог­рамма.

Кро­ме того, управля­ющие сер­веры нас­тра­ивают­ся таким обра­зом, что за одну рас­сылку они не поз­воля­ют ска­чивать вре­донос­ные фай­лы боль­ше 2000 раз. Эти огра­ниче­ния приз­ваны пре­дот­вра­тить детек­тирова­ние тро­яна и бло­киров­ку домена.

Статистика активности

В течение прак­тичес­ки все­го года мы наб­людали зна­читель­ное сни­жение активнос­ти Rotexy. Если в начале 2020-го BI.ZONE-CERT отпра­вил на бло­киров­ку поч­ти 50 доменов, зарегис­три­рован­ных опе­рато­рами Rotexy, то в сен­тябре мы обна­ружи­ли толь­ко один.

При этом в октябре сно­ва начал­ся рост активнос­ти — за месяц мы обна­ружи­ли 17 доменов, а в нояб­ре — уже 30.

Ко­личес­тво доменов, отправ­ленных на бло­киров­ку в течение 2020 года

Пик чис­ла новых регис­тра­ций доменов опе­рато­рами Rotexy зафик­сирован в 2019 году (вид­но на рисун­ке ниже), пос­коль­ку тог­да рас­сылки были мас­совыми и наб­людались по всей Рос­сии. В 2018-м вре­донос толь­ко появил­ся, при­чем лишь во вто­рой полови­не года, одна­ко количес­тво обна­ружен­ных доменов за это вре­мя зна­читель­но пре­выша­ет показа­тель за один­надцать месяцев 2020-го. Это мож­но свя­зать с тем, что в пос­леднее вре­мя опе­рато­ры Rotexy ста­ли более изби­ратель­но рас­простра­нять вре­донос­ные APK-фай­лы и, как пра­вило, в день регис­три­рова­ли не боль­ше двух доменов.

Ко­личес­тво доменов, отправ­ленных на бло­киров­ку в течение трех лет 

Детектирование

Све­жие сем­плы вре­донос­ной прог­раммы не детек­тиру­ются анти­виру­сами, пос­коль­ку обфусци­руют­ся с помощью при­ват­ных крип­торов.

От­личитель­ная осо­бен­ность Rotexy — уме­ние обхо­дить антифрод‑сис­темы бан­ков. Прог­рамма попол­няет баланс мобиль­ного сче­та с бан­ков­ской кар­ты жер­твы, а затем перево­дит средс­тва через лич­ный кабинет на дру­гой номер.

Основная функциональность

Вспом­ним, какие основные фун­кци­ональ­ные воз­можнос­ти есть в арсе­нале Rotexy, на при­мере фай­ла b848e1cfb58b6e6bdcd44104d04877bd.

Ис­ходный исполня­емый APK-файл Rotexy зна­читель­но обфусци­рован. Зло­умыш­ленни­ки исполь­зуют три спо­соба обфуска­ции:

• мер­твый код;
• прок­си‑методы;
• шиф­рование строк.

Мертвый код

Код вре­доно­са запол­нен боль­шим количес­твом так называ­емо­го мер­тво­го кода, который меша­ет ана­лизу. В боль­шинс­тве слу­чаев это реали­зова­но сле­дующим обра­зом: в перемен­ную помеща­ется нулевое зна­чение, пос­ле чего про­веря­ется, дей­стви­тель­но ли перемен­ная рав­на нулю, и при истиннос­ти усло­вия (а такое усло­вие истинно всег­да) выпол­няет­ся переход на опре­делен­ную мет­ку. Сле­дова­тель­но, часть кода ока­зыва­ется про­пуще­на.

При­мер мер­тво­го кода при­веден на рисун­ке ниже. Код меж­ду ком­мента­риями «начало мер­тво­го кода» и «конец мер­тво­го кода» никог­да не исполнит­ся.

Лис­тинг с при­мером мер­тво­го кода

Источник: xakep.ru