Monokle: Ερευνητές ασφαλείας αποκάλυψαν ένα νέο Mobile Trojan που πιστεύεται ότι αναπτύχθηκε από Ρωσική εταιρεία η οποία κατηγορείται για παρέμβαση στις προεδρικές εκλογές των ΗΠΑ το 2016.
Ο λόγος για το Monokle, ένα mobile remote-access trojan που στοχεύει ενεργά τα Android τηλέφωνα από τον Μάρτιο του 2016 και χρησιμοποιείται κατά κύριο λόγο σε επιθέσεις με μεγάλη στοχοθέτηση σε περιορισμένο αριθμό ανθρώπων.
Σύμφωνα με τους ερευνητές ασφάλειας, το Monokle διαθέτει ένα ευρύ φάσμα λειτουργιών κατασκοπείας και χρησιμοποιεί προηγμένες τεχνικές κλοπής δεδομένων, ακόμη και χωρίς να απαιτεί πρόσβαση root στη συσκευή-στόχο.
Πόσο επικίνδυνο είναι το Monokle;
Το κακόβουλο λογισμικό καταχράται τις υπηρεσίες προσβασιμότητας του Android για να κλέψει δεδομένα από δημοφιλούς εφαρμογές τρίτων, συμπεριλαμβανομένων των Google Docs, Facebook messenger, Whatsapp, WeChat και Snapchat, διαβάζοντας το κείμενο που εμφανίζεται στην οθόνη της συσκευής.
Το malware προσπαθεί επίσης να καταγράψει την οθόνη του τηλεφώνου κατά τη διάρκεια ενός screen unlock, προκειμένου να κλέψει το PIN, το μοτίβο ή τον κωδικό πρόσβασης του τηλεφώνου.
Εκτός αυτού, εάν είναι διαθέσιμη η πρόσβαση root, το spyware εγκαθιστά τα root CA certificates που έχουν καθοριστεί από τον εισβολέα στη λίστα αξιόπιστων πιστοποιητικών της παραβιασμένης συσκευής, επιτρέποντας έτσι στους επιτιθέμενους να ξεπεράσουν εύκολα το encrypted SSL-protected network traffic μέσω Man-in-the-Middle (MiTM) επιθέσεων.
Λειτουργίες του Monokle:
- Παρακολούθηση της θέσης της συσκευής
- Καταγραφή ήχου και κλήσεων
- Καταγραφή οθόνης
- Keylogger και λήψη δακτυλικών αποτυπωμάτων
- Ανάκτηση ιστορικού περιήγησης και κλήσεων
- Λήψη φωτογραφιών, βίντεο και στιγμιότυπων οθόνης
- Ανάκτηση μηνυμάτων ηλεκτρονικού ταχυδρομείου και μηνυμάτων SMS
- Κλοπή επαφών και πληροφοριών του ημερολογίου
- Πραγματοποίηση κλήσεων και αποστολή μηνυμάτων κειμένου για λογαριασμό των θυμάτων
- Εκτέλεση αυθαίρετων shell commands, ως root, εάν είναι διαθέσιμη η πρόσβαση root
Συνολικά, το Monokle περιέχει 78 διαφορετικές προκαθορισμένες εντολές, τις οποίες οι hackers μπορούν να στέλνουν μέσω SMS, τηλεφωνήματα, emails μέσω POP3 και SMTP και εισερχόμενες / εξερχόμενες συνδέσεις TCP, δίνοντας εντολή στο κακόβουλο λογισμικό να απομακρύνει τα ζητούμενα δεδομένα και να τα στείλει στους C&C servers.
Το Spyware μεταμφιέζεται ως PornHub και Google Apps για το Android
Σύμφωνα με τους ερευνητές, οι επιτιθέμενοι διανέμουν το Monokle μέσω ψεύτικων εφαρμογών που μοιάζουν με το Evernote, το Google Play, το Pornhub, το Signal, το UC Browser, το Skype και άλλες δημοφιλείς εφαρμογές Android.
Οι περισσότερες από αυτές τις εφαρμογές περιλαμβάνουν ακόμη και νόμιμη λειτουργικότητα, εμποδίζοντας τα θύματα να υποψιάζονται ότι οι εφαρμογές είναι κακόβουλες.
Επιπλέον, μερικά πρόσφατα δείγματα του Monokle διαθέτουν Xpose modules που επιτρέπουν στο κακόβουλο λογισμικό να προσαρμόζει κάποιες λειτουργίες του συστήματος, επεκτείνοντας ενδεχομένως την ικανότητά του να αποκρύπτει την παρουσία του στον κατάλογο διεργασιών.
Το πακέτο του κακόβουλου λογισμικού χρησιμοποιεί ένα αρχείο DEX στο assets folder του, το οποίο περιλαμβάνει όλες τις κρυπτογραφικές λειτουργίες που χρησιμοποιούνται στο open source library “spongycastle”, διάφορα πρωτόκολλα ηλεκτρονικού ταχυδρομείου, εξαγωγή όλων των δεδομένων και κωδικοποίηση μεταξύ πολλών άλλων λειτουργιών.
Το Android malware και οι δυνατότητές του μας υπενθυμίζουν το ισχυρό malware Pegasus, το οποίο αναπτύχθηκε από το Ισραηλινό NSO Group για συσκευές Apple iOS και Google Android.
Δημιουργός του Monokle
Το Monokle αναπτύχθηκε από μια εταιρεία με έδρα τη Ρωσία, που ονομάζεται Special Technology Center Ltd. (STC) – γνωστή για την παραγωγή UAV και εξοπλισμού ραδιοσυχνοτήτων (RF) για Ρώσους στρατιωτικούς καθώς και για άλλους κυβερνητικούς πελάτες.
Monokle για iOS υπό ανάπτυξη
Εκτός από το Android, οι ερευνητές εντόπισαν και μερικά δείγματα κακόβουλου λογισμικού Monokle, η ανάλυση των οποίων αποκάλυψε την ύπαρξη εκδόσεων iOS του Monokle που στοχεύουν σε συσκευές Apple, αν και οι ερευνητές δεν βρήκαν από τώρα κανένα στοιχείο μόλυνσης του iOS.
Ορισμένες εντολές στα δείγματα του κακόβουλου λογισμικού φαίνεται ότι δεν εξυπηρετούν κανέναν σκοπό του Android client και πιθανότατα προστέθηκαν ακούσια, γεγονός που υποδηλώνει ότι οι εκδόσεις iOS του Monokle ενδέχεται να βρίσκονται υπό εξέλιξη.
Αυτές οι εντολές περιλαμβάνουν λειτουργίες iOS για το keychain, τις συνδέσεις iCloud, τα δεδομένα iWatch του επιταχυνσιόμετρου iWatch, τα δικαιώματα iOS και υπηρεσίες iOS.
Σύμφωνα με τους ερευνητές της Lookout, το Monokle χρησιμοποιείται σε πολύ στοχευμένες επιθέσεις σε περιορισμένο αριθμό ατόμων στις περιοχές της Ανατολικής Ευρώπης, καθώς και σε άτομα που ενδιαφέρονται για το Ισλάμ και τη μαχητική ομάδα Ahrar al-Sham στη Συρία και άτομα στην Κεντρική Ασία και πρώην σοβιετική δημοκρατία του Ουζμπεκιστάν.
