W ostatnim czasie prawdopodobnie każdy słyszał o aplikacji FaceApp, pozwalającej m.in. na modyfikację swojego zdjęcia tak, by „zobaczyć siebie za kilkadziesiąt lat”. Za pomocą sztucznej inteligencji aplikacja przetwarza zdjęcia prywatnych użytkowników i ukazuje im ich nowe oblicze, nie tylko z przyszłości ale i np. w nowej fryzurze. Ogromna popularność rozwiązania przyniosła jednak za sobą falę krytycyzmu. Wiele źródeł wskazało na liczne miejsca do jakich aplikacja chce mieć dostęp i podważało zasadność uprawnień. Szczególną niechęć wzbudził fakt, że jej twórca pochodzi z Rosji i tam znajdują się serwery gromadzące i przetwarzające dane.

FaceApp nie stanowi jednak wyjątku na rynku aplikacji ani pod względem żądań ani lokalizacji serwerów. Jest wiele aplikacji wyspecjalizowanych w śledzeniu użytkowników i gromadzeniu informacji na ich temat. Niektóre z nich jak TRIADA trafiały na urządzenia jeszcze w fazie produkcyjnej. O niechcianych „dodatkach” do aplikacji dowiadujemy się zwykle, gdy jest już za późno. Niektóre z nich mogą oznaczać poważne kłopoty dla każdego użytkownika smartfona. Należy do nich coraz szerzej omawiane, złośliwe oprogramowanie o nazwie Monokle.

Choć złośliwe oprogramowanie nie miało wcześniej swojej premiery pod nazwą Monokle, okazuje się, że w różnych formach działa już od kilku lat.

Czym jest Monokle?

Najczęściej jego nazwa występuje z określeniami RAT lub spyware. RAT to skrót od Remote Access Trojan czyli oprogramowanie zdalnie kontrolujące ofiarę. Jego instalacja przebiega w ukryciu lub pod pozorem instalacji innego oprogramowania (stąd określenie koń trojański). RAT ukrywa swoją działalność przed użytkownikiem oraz przed programami antywirusowymi. Z kolei spyware to w dosłownym tłumaczeniu oprogramowanie szpiegowskie. Ma ono na celu agregację danych o użytkowniku i jego urządzeniu, a nierzadko również przesłanie ich dalej. Niektóre rodzaje spyware mogą wysyłać wiadomości z kont poczty email ofiary lub wyświetlać jej konkretne reklamy. Nie ulega wątpliwości, że wirus określany w ten sposób stanowi poważne zagrożenie.

Nie inaczej jest w przypadku odkrycia ekspertów z Lookout, którzy malware’owi Monokle poświęcili pokaźną publikację: Monokle.The Mobile Surveillance Tooling of the Special Technology Center. Badacze wskazują na wyjątkowość Monokle ze względu na wykorzystanie nowych i zaawansowanych zestawów niestandardowych narzędzi do nadzoru smartfona. Monokle pojawia się w bardzo ograniczonym zestawie aplikacji, z których większość jest zainfekowana, ale zawiera legalną funkcjonalność. Zatem podejrzenia użytkowników nie są wzbudzane, a narzędzie jest nadal aktywnie wdrażane. Co więcej, Monokle nie potrzebuje dostępu do tzw roota czyli nie potrzebuje by urządzenie miało aktywowany tryb deweloperski. W ten sposób nawet bez podniesionych uprawnień, malware jest w stanie przejąć kontrolę.

Zaawansowanie technologiczne Monokle skłania badaczy bezpieczeństwa do głębokiej analizy. Autorstwo Monokle przypisuje się rosyjskiemu Special Technology Center (STC). Mimo że malware nie działał wcześniej pod swoją nazwą, szacuje się, że miał udział w wysoce ukierunkowanych atakach przynajmniej od marca 2016 r. Lookout wskazuje, że narzędzia Monokle pokrywają się z częścią zestawu kampanii, opracowywanej przez STC. Okazuje się, że zestaw aplikacji zabezpieczających dla Androida, w tym rozwiązanie antywirusowe, nad którym STC pracuje, współdzieli infrastrukturę z Monokle. Godnym uwagi jest fakt, że STC zostało usankcjonowane za ingerencję w ostatnie wybory prezydenckie w Stanach Zjednoczonych.

Bogactwo funkcjonalności na miarę Enterprise Mobile Management

Monokle oferuje szeroką gamę funkcji szpiegujących i implementuje zaawansowane techniki infiltracji danych. Ponieważ obsługuje 78 różnych predefiniowanych poleceń, z których 61 jest zaimplementowanych w ostatnich próbkach, atakujący mogą pozyskać żądane informacje. Służą im od tego możliwości takie jak:

  • śledzenie lokalizacji urządzenia,
  • pobieranie informacji o istniejących kontach i powiązanych hasłach,
  • rejestrowanie połączeń,
  • wykonanie autoresetu, przywrócenia do ustawień fabrycznych,
  • nagrywanie dźwięku i ekranu, robienie zdjęć,
  • pobieranie historii przeglądania, wiadomości email i sms,
  • pozyskanie kontaktów i informacji kalendarza,
  • nawiązywanie połączeń i wysyłanie wiadomości.

Chociaż większość jego funkcji jest typowa dla urządzeń do monitoringu mobilnego, Monokle jest wyjątkowy, ponieważ wykorzystuje istniejące metody w nowatorski sposób, aby być niezwykle skutecznym nawet bez dostępu do roota. Jednakże najgorsze jest to, co może się stać, jeśli uzyska takie uprawnienia. Jak się okazuje, Monokle ma możliwość samodzielnego podpisywania zaufanych certyfikatów w celu przechwycenia zaszyfrowanego ruchu SSL. Z dostępem roota, Monokle jest w stanie zainstalować dodatkowe certyfikaty, określone przez atakującego, jako zaufane na zainfekowanym urządzeniu. W ten sposób skutecznie otwiera smartfon na atak Man-in-the-middle (MITM), przejmując ruch TLS.

Czasy w których odnotowano aktywność Monokle. Źródło

Monokle & Android Xposed Framework

Najnowsze przykłady Monokle obejmują framework Xposed, który to stanowi szkielet do dalszych modyfikacji Androida. Sam w sobie Xposed jest potężym narzędziem, umożliwiającym ingerencję w system operacyjny i aplikacje, bez naruszania plików APK. W ten sposób po odinstalowaniu frameworka, wszystkie zmiany cofają się i nie są konieczne żadne inwazyjne działania „czyszczące”. Jak można zauważyć, taka lekkość użytkowania w porównaniu z ogromem możliwości jest korzystna, a co za tym idzie przyciąga odbiorców. Niestety, nie tylko dobra strona mocy widzi w zastosowaniu Xposed pole do manewru.

Niektóre fałszywe aplikacje Xposed zawierają moduły Monokle, które implementują funkcjonalność przechwytywania i ukrywania obecności na liście procesów. Znaczna część rdzennej szkodliwej funkcjonalności znajduje się w późniejszych próbkach. Monokle używa zaciemnionego pliku DEX XOR w folderze zasobów. Jak możemy przeczytać na łamach publikacji cytujących wyniki pracy Lookout: „Funkcjonalność ukryta w pliku DEX obejmuje wszystkie funkcje kryptograficzne zaimplementowane w bibliotece open source spongycastle11, różne protokoły e-mail, ekstrakcję i eksfiltrację wszystkich danych, serializację i deserializację danych przy użyciu protokołu Thrift, a także funkcje zakorzenienia i przechwytywania”. Po raz kolejny opis możliwości złośliwego oprogramowania wskazuje na wysoki poziom zagrożenia. Należałoby jeszcze określić kto w tej grupie potencjalnych ofiar może się znaleźć?

Kierunek zagrożenia

Potęgę Monokle utwierdza mnogość jego możliwości. Natomiast poza tym, spora część problemu wynika z tego, że atakujący doskonale określili grupę docelową. Ich celem nie jest złośliwe atakowanie „zwykłego Kowalskiego” – skala przedsięwzięcia wskazuje na coś więcej. Wiemy, że Monokle i pakiet bezpieczeństwa STC dla Androida o nazwie Defender są podpisane cyfrowo za pomocą tych samych certyfikatów cyfrowych i mają tę samą infrastrukturę kontroli. Ktoś, kto podejmuje takie inwestycje, ma na myśli bardziej opłacalny cel niż zaszkodzenie pojedynczym użytkownikom. Być może istotny będzie tutaj efekt skali – przechwycenie wrażliwych informacji o np. 100 000 przypadkowych osobach. A być może istotne będzie ukierunkowanie ataku na konkretną grupę docelową – osoby powiązane z określonymi instytucjami.

Podczas gdy Monokle atakuje obecnie tylko urządzenia z Androidem, badacze twierdzą, że kilka próbek złośliwego oprogramowania zawiera nieużywane polecenia i obiekty do przesyłania danych, które wskazują na istnienie wersji iOS, co sugeruje, że w przyszłości atak zostanie wystosowany na iPhone’y. W wielu miejscach te właśnie modele urządzeń wykorzystywane są przez osoby mające kluczowe znaczenie dla organizacji. Co więcej nadal spora część mniej świadomych użytkowników Internetu i urządzeń mobilnych uważa, że tak naprawdę nie ma wirusa na systemy iOS z prawdziwego zdarzenia. Życzmy sobie, żeby Monokle nie musiało im tego demonstrować.

Monokle był prawdopodobnie wykorzystywany do szpiegowania osób w regionach Kaukazu i osób powiązanych z grupą Ahrar al-Sham w Syrii

Jeśli posiadamy telefon z Androidem, zagrożenie Monokle niestety jest realne. Na zakończenie kilka dobrych praktyk w zakresie bezpieczeństwa mobilnego:

Nie korzystajmy ze zrootowanych urządzeń

Sprawdzajmy uważnie aplikacje, które chcemy zainstalować – szczególnie pod kątem aktualizacji w sklepie Play

Nie instalujmy aplikacji firm trzecich spoza oficjalnego sklepu czyli pochodzących z tzw „niezaufanych źródeł”

Raport Lookout i pozostałe źródła:

https://www.lookout.com/documents/threat-reports/lookout-discovers-monokle-threat-report.pdf

https://threatpost.com/monokle-android-spyware/146655/

https://www.darkreading.com/endpoint/android-spyware-has-ties-to-election-interference/d/d-id/1335351

https://securityaffairs.co/wordpress/88888/malware/monokle-surveillance-malware.html

http://www.gadgethelpline.com/monokle-surveillance-software

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *