Booking i Android. CERT Polska opisuje nowy atak
CERT Polska poinformował o kampanii wymierzonej w użytkowników Androida, w której oszuści podszywali się pod Booking.com i Booking Pulse. Fałszywa aktualizacja uruchamiała wieloetapową infekcję i otwierała drogę do przejęcia danych z telefonu.
Z analizy CERT Polska wynika, że atak zaczynał się od wiadomości phishingowej z linkiem do strony przypominającej komunikat bezpieczeństwa Booking.com. Po wejściu na taką witrynę użytkownik widział zachętę do pobrania aktualizacji.
W praktyce ofiara ściągała plik com.pulsebookmanager.helper.apk, który nie był zwykłą fałszywą aplikacją. Badacze opisali go jako początek dłuższego łańcucha infekcji, prowadzącego do uruchomienia złośliwego oprogramowania typu RAT.
Jak działał atak podszywający się pod Booking
CERT Polska odtworzył kolejne etapy działania malware. Najpierw pierwszy pakiet uruchamiał natywną bibliotekę, potem odszyfrowywał następny plik APK, a na końcu wydobywał jeszcze ukryty moduł. Dopiero po tych krokach startował właściwy szkodliwy program.
Po instalacji aplikacja dodawała kolejny pakiet o nazwie io.cifnzm.utility67pu, opisany jako Google Play Services. Taki mechanizm miał ukryć prawdziwy cel programu i przesunąć użytkownika do następnego etapu infekcji bez wzbudzania od razu podejrzeń.
Malware cifrat i pełna kontrola nad urządzeniem
Już pierwszy APK prosił o zestaw uprawnień, który według CERT Polska nie pasował do narzędzia związanego z Booking.com. Chodziło m.in. o możliwość instalowania kolejnych pakietów, śledzenia ich stanu, szeroki wgląd w oprogramowanie telefonu i utrzymanie działania po restarcie.
Badacze zwrócili też uwagę, że fałszywy interfejs nie służył wyłącznie jako przynęta. Strona wyświetlana w WebView mogła równocześnie zbierać informacje o urządzeniu i kierować ofiarę do dalszej części ataku. To odróżniało tę kampanię od prostych stron służących jedynie do pobrania pliku.
Finalny moduł miał funkcje typowe dla rozbudowanego malware na Androida. CERT Polska wskazał na strumieniowanie ekranu, keylogging, przechwytywanie SMS-ów, obsługę kamery, zdalne gesty, nakładki phishingowe i HTML injection. Taki zestaw dawał napastnikom szeroki dostęp do danych i aktywności użytkownika.
Osłabienie weryfikacji
Kod próbki pokazywał także użycie usług ułatwień dostępu do sterowania telefonem. Malware potrafił reagować na zdarzenia klawiatury, przechwytywać dane logowania i obsługiwać ekrany związane z blokadą, PIN-em lub hasłem. Dodatkowo miał tunel SOCKS5, co mogło służyć do przekazywania ruchu sieciowego.
CERT Polska opisał również komunikację z serwerem C2. Ostatni etap korzystał z dwóch kanałów WebSocket, oddzielając komendy od przesyłania większych porcji danych, takich jak telemetria czy obraz ekranu. Analiza wykazała też celowe osłabienie weryfikacji TLS.
Eksperci nie przypisali tej próbki do żadnej znanej rodziny malware, dlatego nadali jej roboczą nazwę cifrat. Nazwa pochodzi od pakietu io.cifnzm.utility67pu i funkcji zdalnego trojana. Najważniejszy wniosek z analizy pozostaje prosty: aplikacja udająca Booking Pulse była tylko wejściem do bardziej złożonego mechanizmu przejęcia urządzenia.
