Android.Phantom.5

SHA1-хеш:

• c8466dd1f57bb38a984b3adb7a7e6a7c9f20fba3 (com.yippo.ai version 1.3.6 «Creation Magic World»)

Описание

Некто от лица разработчика SHENZHEN RUIREN NETWORK CO., LTD выпустил несколько приложений. По геймплею все они являются клонами популярных мобильных игр:

• Creation Magic World — песочница, напоминающая майнкрафт. Легко узнаваемый кубический мир со схожими механиками;
• Cute Pet House — игра по принципу тамагочи, где требуется ухаживать за мультяшным питомцем;
• Amazing Unicorn Party — тоже тамагочиподобная игра с единорогами;
• Академия мечты Сакура — симулятор жизни школьников в аниме-стиле;
• Theft Auto Mafia — имитация серии GTA, симулятор жизни криминальных элементов;
• Open World Gangsters — как и пример выше, песочница с преступниками всех мастей.

Во все эти игры встроены вредоносные модули уже после релиза. В первоначальных версиях вредоносного ПО не было. 28/29 сентября в игрушки встраивают Android.Phantom.2.origin, а 15/16 октября внутри появляется Android.Phantom.5. Вот как выглядит типичный инжект для приложений на примере Creation Magic World:

Android.Phantom.5, в отличие от своего Android.Phantom.2.origin, является дроппером. Из массивов байтов он расшифровывает полезную нагрузку, которой является Android.Phantom.4.origin.

Android.Phantom.4.origin содержит в себе два идентичных модуля для загрузки удаленного кода с разных управляющих серверов:

• hxxps[:]//fyapi[.]freeflightbird[.]com,
• hxxps[:]//cgb[.]jingongbuxiao[.]com.

Модули загружают и выполняют удаленный код с помощью DexClassLoader. При тестировании трояна от управляющих серверов он получил задачу по загрузке и запуску нескольких модулей. Пример команды на загрузку файлов:

task   
  {
      "d": 1,
      "ms": [
          {
              "p": "1010",
              "c": "com.wwk.brh.Run",
              "d": "hxxps[:]//5[.]ahd187[.]com/thirdsdk/flowcashpack/243/newoffer-120-202510151732d",
              "cm": "1",
              "id": 243,
              "m": "instance"
          },
          {
              "p": "1010",
              "c": "com.yui.vyh.Run",
              "d": "hxxps[:]//5[.]ahd187[.]com/thirdsdk/flowcashpack/244/newjsAd-110-202510201655d",
              "cm": "1",
              "id": 244,
              "m": "instance"
          }
      ]
  }

Загружаемые данными модулями файлы были зашифрованы с помощью алгоритма AES CBC. В этом файле первые 16 байт файла – это инициализационный вектор, а последние 16 байт файла – ключ шифрования. После расшифровки, в файле обнаруживается Android.Click.435.origin.

Android.Click.435.origin — это обфусцированный троян-дроппер. В основном он содержит мусорный код. Его задача — распаковать полезную нагрузку в виде Android.Click.429.origin.

Android.Click.429.origin. Это последнее звено цепочки, запущенной Android.Phantom.5. Кликер, по функциональности более простой, чем Android.Phantom.2.origin. О который загружает сайты в WebView, и дальше симулирует действия пользователя при помощи JavascriptInterface и JavaScript кода c управляющего сервера hxxps[:]//newsadapi[.]zhuifengzhe[.]top.

Android.Click.429.origin также загружается по второй ссылке из задачи, но уже без дополнительного упаковщика Android.Click.435.origin.

Интересный момент. Этот домен раньше уже встречался нам в контексте киберпреступных действий. В 2021 году домен zhuifengzhe[.]top встречался в Android.Joker.310.origin, в нем сервер hxxps[:]//datastatisapi[.]zhuifengzhe[.]top управлял загрузкой удаленного кода. Android.Joker.310.origin — это модификация Android.Joker.242.origin, куда добавлен модуль загрузки удаленного кода. Подробнее об этом трояне вы можете прочитать в нашей новости и в базе вирусов (Android.Joker.242.origin).

Матрица MITRE

Новость о трояне