Исследование троянов в кнопочных телефонах

Данный документ представляет собой описание последовательности действий для выявления типичной вредоносной функциональности кнопочных телефонов: троянов, внедрённых главным образом для использования номера телефона жертвы с целью продажи платных регистраций в мессенджерах и других сервисах (но не ограничиваясь этим).

Оно изложено в виде последовательности действий, с помощью которых можно быстро определить:

1. Наличие подозрительного кода в прошивке устройства (характерные признаки, присущие подобному классу троянов, на основании опыта исследования множества прошивок)

2. Его примерную функциональность (также по отличительным особенностям, без глубокого анализа)

3. Домен, на который устройство подключается для выполнения команд и отправки данных (C&C)

Документ предназначен для начинающих исследователей в области информационной безопасности, которые не имеют опыта работы с прошивами кнопочных телефонов, но также будет полезен любому технически подкованному пользователю — я старался избегать специализированных терминов и по возможности использовать простой и понятный язык.

Введение

Кнопочные телефоны для рынка РФ очень быстро делают за совсем скудные деньги китайцы, работающие без выходных по слишком много часов в сутки. Они вместе с импортёром-заказчиком прекрасно знают, что телефоны купят преимущественно малообеспеченные слои населения, и давно смирились с этим, поэтому единственная их цель — сделать хоть что-то и любыми способами продать подороже.

Продавать дороже получается редко: покупатель ценового сегмента <1000₽ не готов платить за хороший экран, качественный динамик или эргономичные кнопки, поэтому производители сконцентрировались на получении прибыли не только во время, но и после продажи телефона.

Поначалу зарабатывали на встраивании платных игр, сервисов СМС-подписок (анекдоты, гороскопы), дополнительных партнёрских услугах, спустя какое-то время начали встраивать невидимую периодическую отправку платных СМС на короткие номера. К текущему моменту получили распространение встроенные в прошивку трояны (замаскированный вредоносный код), нацеленные на использование номера телефона владельца, для продажи временных номеров для регистрации в различных интернет-сервисах разных регионов.

Работает схема так:

1. Покупатель телефона устанавливает SIM-карту и включает устройство

2. Спустя несколько часов или дней телефон выходит в интернет и передаёт информацию: регион SIM-карты, оператор, идентификатор телефона, и т.п.
   В этот момент сервер узнает о новом телефоне, но еще не знает его номер.

3. Сервер отправляет команду для выяснения номера телефона SIM-карты. Это может быть либо USSD-код «узнай свой номер» (уникальный у каждого оператора), либо исходящая СМС с текстом и номером, указанным сервером.

4. Телефон выполняет команду, полученную с сервера:

   1. В случае USSD: запрос выполняется, на сервер пересылается ответ с номером

   2. В случае СМС чаще всего сообщение отправляется другому владельцу кнопочного телефона с подобным трояном, который перехватывает сообщение и пересылает на сервер вместе с содержимым и номером, либо же СМС может отправляться на специальный шлюз для приёма сообщений, подконтрольный злоумышленникам.

5. После завершения «идентификации» устройства и получения номера, телефон периодически подключается к серверу в интернете и проверяет наличие команд (раз в сутки или реже, задаётся сервером).

6. Авторы трояна публикуют номер телефона на сервисах получения СМС для регистрации. Как только его покупают, сервер отправляет телефону команду на установку фильтра пересылки СМС по номеру (или имени) отправителя или ключевому слову в теле сообщения.

7. Как только нужное СМС получено, его содержимое отправляется на сервер в интернете, при этом оно не сохраняется в памяти телефона, а пользователю не приходит уведомление о его получении (нет звукового сигнала, не выводится на экран).

Троян в телефоне самостоятельно не выполняет никаких действий, кроме периодического подключения к серверу. Вся логика работы (схемы) заложена на сервере, и может быть изменена для отдельных устройств в любой момент.
Злоумышленникам ничего не мешает использовать троян для обхода аутентификации на различных сервисах, которые уже зарегистрированы на этот номер телефона, входа в интернет-банк по СМС, и т.п.

Чаще всего импортёр-заказчик не в курсе наличия вредоносного кода в прошивке. Когда выясняется, что телефон сам выходит в интернет раз в сутки, производитель уверяет, что сделано это для синхронизации времени через интернет, обновления стоимости сервиса СМС-подписок, либо для еще какой-либо «сервисной» цели.

Вот что пишет Алексей Рязанцев, автор книги «Китайцы: инструкция по применению», ранее заказчик и импортёр смартфонов, о внедрении платных СМС-подписок в их устройства:

Как у нас, так и у коллег по отрасли программное обеспечение создавалось в компаниях производителей плат. И это был единственный путь, по которому вредоносное ПО могло проникнуть в наши устройства. Китайские производители плат не дают исходных кодов и запрещают делать самостоятельные модификации программного обеспечения.

Мы выделили три пути, по которым вирусы подсаживаются:

    * это сознательно делают поставщики плат, получив за это деньги от заинтересованных лиц, которые зарабатывают на подписках и трансляции и рекламе
    * это может делать отдельно взятый инженер, которого подкупили. Но случай кажется редким, так как он должен работать над прошивкой конкретного устройства для конкретного рынка;
    * загрузка вредоносного ПО происходит с негласного согласия локальной торговой марки или её представителей, которые находятся в доле;
    * вредители делают собственную прошивку и перепрошивают устройства в стране продажи. Процесс трудоёмкий и вряд ли возможная выгода стоит трудозатрат.

Вначале мы предполагали, что платная подписка ошибочно досталась нам от игр, которые делались для китайского рынка. Но случайностью это не было.

[…]

Таким образом расследование привело нас из Санкт-Петербурга в Санкт-Петербург. Более того, в прекрасно знакомую мне компанию. Короткие номера, на которые шла подписка контента, принадлежали ей. Правда, выяснилось, что сама компания пересдаёт эти номера другим юридическим лицам, которые пересдают их дальше. И просьба отключить эти номера для минимизации ущерба лишь единожды закончилась успешно и только после вмешательства представителей оператора связи, которые номера обещали лично отключить.

Извлечение и распаковка прошивки

Дешевые кнопочные телефоны в основном базируются на двух платформах:

• Spreadtrum 6531 (DA/E)

• Mediatek MT6260/6261

Определить платформу можно по тому, как устройство идентифицирует себя при подключении к компьютеру USB-кабелем (USB VID/PID).

Первая часть номера устройства - это код производителя:

1782:xxxx — Spreadtrum
0e8d:xxxx — MediaTek

Чтобы извлечь прошивку, в случае Mediatek достаточно только подключить устройство кабелем. Для Spreadtrum также потребуется либо найти загрузочную (boot) клавишу или комбинацию (чаще всего 0, 1, 5, центральная, левая софт-клавиша), либо воспользоваться USB-OTG-кабелем или переходником (пины ID и GND должны быть замкнуты, чтобы устройство вошло в режим прошивки).

Я использую кабель USB-A-папа — USB-A-папа и переходник USB-A-мама - MicroUSB OTG.

Извлечение прошивки

ПО для Spreadtrum:

• https://github.com/ilyakurdyukov/spreadtrum_flash

• https://gitlab.com/suborg/uniflash

ПО для Mediatek:

• https://github.com/ilyakurdyukov/mediatek_flash

Извлечение на примере Spreadtrum, Digma A172:

1. Вынуть батарею телефона

2. Запустить spreadtrum_dump:
   sudo ./spd_dump fdl nor_fdl1.bin 0x40004000 read_flash 0x80000003 0 0x400000 dump.bin

3. Вставить батарею телефона

4. Подключить телефон к компьютеру OTG-кабелем

Дамп прошивки занимает около 30 секунд.
0x400000 — размер флеш-памяти (4 МБ). Скорректируйте размер, если прошивка кажется неполной (или если программы для распаковки выдают ошибки).

Распаковка прошивки

ПО для Spreadtrum:

• https://github.com/ilyazx/bzpwork

• https://gitlab.com/suborg/uniflash (скрипт stoned.py)

ПО для Mediatek:

• https://github.com/donnm/mtk_fw_tools

Основной (пользовательский) код в Spreadtrum хранится в разделе usr/user.bin, в Mediatek — в разделе ALICE.

Программы распаковки Spreadtrum принимают на вход дамп прошивки и выдают готовый к анализу файл.
Для распаковки дампа Mediatek необходимо вручную найти границу раздела ALICE и отрезать данные до него (см. инструкцию в репозитории по ссылке).

Распаковка на примере Spreadtrum, bzpwork:

bzpwork dump.bin .

Поиск трояна

Код трояна чаще всего имеет следующие особенности, которые упрощают его выявление в прошивке:

• Домен в формате xxx.yyy.com, при этом yyy.com не резолвится (не имеет IP-адреса), вероятно, чтобы избежать автоматического обнаружения и индексации поисковыми сканерами

• Домен обфусцирован или зашифрован: xor, rc5, base64

• Пути URI, запросы, параметры либо находятся в прошивке в открытом виде, либо обфусцированы base64

• В запросах передается IMEI, серийный номер телефона, время и другая информация

В простейшем случае достаточно получить все данные, похожие на текстовые строки, утилитой GNU strings, и поискать характерные символы запросов: “/”, “?”, “GET”, “POST” “HTTP/”, и самостоятельно оценить рядом находящиеся соседние строки на подозрительность.

Digma A172

Платформа: Spreadtrum 6531

Телефон подключается к интернету раз в сутки, что видно по выписке мобильного оператора. Производитель заверяет, что это сделано для обновления встроенного сервиса СМС-подписок Funbox.

Произведём поиск строк, обозначенных выше.

Спустя несколько нерелевантных результатов видим заголовки HTTP-запроса, формируемые параметрами, типичными для функции sprintf, и некие URL’ы, без домена:

&Fq-hgF
!h}#
YCTJ
/app/challenge
/app-v3/verify
/app-v3
Content-Length:
%d
Cache-Control:
no-cache
Content-Type:
application/octet-stream
Connection:
Close
Accept:
*/*
User-Agent:
UNTRUSTED/1.0
HTTP/1.1
POST
%s %sHost: %s
%s%s%s%s%s%s
timeout
count out
~L l
I}#     h

Загрузим код (файл usr.bin или user.bin) в декомпилятор IDA Pro (процессор: ARM, адрес загрузки: 0x8000000 для этого примера, все остальное по умолчанию), найдем соответствующие строки. Они являются частью функции sub_82E7384.

Часть функций и переменных на скриншоте переименована для удобочитаемости.

Выполним поиск cross-ref (перекрёстных ссылок) на переменную backdoor_domain.

В функции sub_82E77A4 можем видеть, как в эту переменную используют несколько функций. Присмотримся к двум последним: одна, вероятно, копирует данные из другой переменной, а далее переменная используется в качестве аргумента вызова функции, вместе с длиной и неким параметром.

Содержание функции backdoor_xor_domain — простого «скользящего» XOR:

В переменной, обозначенной как backdoor_domain_data (источник данных, которые копируются в backdoor_domain) находятся следующие байты:

76 68 70 34 76 7E 7B 70 68 53 0F 41 4C 49

Алгоритм XOR для расшифровки домена в виде Python-кода:

xorkey = 23
domain = bytearray(b"\x76\x68\x70\x34\x76\x7E\x7B\x70\x68\x53\x0F\x41\x4C\x49")
for i in range(len(domain)):
    domain[i] ^= xorkey
    xorkey += 1
print(domain)

Таким образом мы выяснили, что домен api.mbfnws.com

1. Используется для передачи методом POST неких данных

2. Обфусцирован с непонятной целью

3. api.mbfnws.com имеет IP-адреса, при этом mbfnws.com — нет

Клон Nokia 106

Подделка под модель Nokia 106 DS 2018 (TA-1114), приобретена на Ozon за 900₽.

Платформа: Spreadtrum 6531

Как и в случае с Digma, проведем аналогичный поиск строк HTTP-запросов в прошивке. Выделим все строки длиннее 10 символов, начинающиеся на “/”

Сразу бросается в глаза путь, закодированный в base64, из-за символов паддинга (заполнения) “==”.

Открываем прошивку в декомпиляторе (процессор: ARM, адрес загрузки: 0x8000000 для этого примера, все остальное по умолчанию), и ищем ссылки на строки.

Сразу же под этой строкой находятся другие подозрительные текстовые обрывки. Если присмотреться к ним внимательней, становится понятно, что это формат строки к функции sprintf:

Домен mpruj0.ol6c7q.com

1. Используется для передачи или получения неких данных на подозрительный URL

2. Обфусцирован с непонятной целью, состоит из набора бессмысленных цифр и букв

3. mpruj0.ol6c7q.com имеет IP-адрес, при этом ol6c7q.com — нет

Несмотря на красные флаги, домен ссылается на публичный DNS-сервис Google 8.8.8.8, а значит не может использоваться для управления трояном.

Продолжаем поиск. Перейдя по ссылкам на другие URL’ы, видим такую картину:

Домены twxagh.n9a7.com, psgtuu.n9a7.com, lypzhe.n9a7.com не зашифрованы и не обфусцированы, аналогично обладают всеми свойствами подозрительных, при этом ссылаются на действующие адреса.

Анализ трояна

Напомню, цель данного документа — поверхностный, но быстрый анализ прошивки на наличие вредоносной функциональности.

На данном этапе есть два варианта дальнейшего развития исследования: продолжить анализ прошивки в декомпиляторе, либо заменить домен трояна api.mbfnws.com (в случае Digma) на подконтрольный исследователю, настроить на сервере перенаправление (проксирование) запросов на оригинальный адрес, и записать дампы трафика для дальнейшего анализа, оставив телефон лежать включёнными и с SIM-картой на пару недель.
Если применить сначала второй, а затем вернуться в первому, анализ получится выполнить быстрее и меньшими усилиями, с использованием записанных данных — можно будет понять формат, тип и содержание данных без глубокого анализа функций прошивки, а также посмотреть, какие команды отправляет сервер, и как телефон передаёт их результат.

Digma A172

Троян передаёт большое количество шифрованных данных, сложных для анализа статически, поэтому решено было найти функцию шифрования и проводить анализ по записанным дампам трафика.

Трафик шифруется алгоритмом шифрования RC5 с ключом “@taurus!Aa\x0A\x00”, пакет начинается с ключевого (магического) слова TAUR, содержимое кодируется в формат BSON (binary JSON).

Примеры запросов и ответов, программа для их декодирования находятся в приложении.

Пример пересылки трояном текста СМС-сообщения и ответа сервера:

Типичный запрос на /app-v3:

ПЕРЕДАВАЕМЫЕ параметры (с сервера на телефон)

0: строка, идентификатор устройства для сервера, 12 байт

15: int32, установка времени на устройстве (unix time)

18: int32, назначение неизвестно

181: строка, длина до 150 символов, назначение неизвестно

20: int32, назначение неизвестно

21: int32, флаг использования “mkey”

25: int32, задержка до следующего соединения с сервером (секунды, 3600-432000)

301 строка, 'Y' / ‘N’, флаг использования "hwkey"

302 int32, всегда 10002, hwver

306: строка, строка для шифрования xor данных в nvram (rolling xor 0x2F)

307: строка, схожа с 306, но назначение неизвестно

30xx: сервер отправляет команду на отправку СМС (ответ сервера)

Владелец номера +79876580338, скорее всего, использует такой же телефон, которому сервер установил команду пересылать всё, что начинается с ключевого слова “R,RR,RRR” на сервер.

x = номер SIM (0-3)

30: int32, 1 = отправляем СМС

30x1: строка, номер телефона (+79...)

30x2: строка, текст СМС, до 140 символов

30x3: int32, назначение неизвестно (тип кодирования СМС?)

30x4: строка, 1 байт, незначение неизвестно (esm_class?)

30x5: int32, таймер отправки (задержка перед отправкой), 3-14400 секунд (3 по умолчанию)

30x6: int32, назначение неизвестно (возможно важный параметр)

30x7: int32, назначение неизвестно, 0-4 (тип сообщения?)

50x: вывод сообщения на экран. Сервером не использовался.

501: строка

502: binary до 140 символов

503: int32 0-1 (decode wide char?)

Клон Nokia 106

Данные, передающиеся на lypzhe.n9a7.com:

На psgtuu.n9a7.com:

На twxagh.n9a7.com:

Каждый домен использует уникальные ключи шифрования XOR, отдельно для запроса и ответа от сервера.

Функция “zeus” скачивает программный код с сервера в виде файла, сохраняет его во внутреннюю скрытую память телефона и выполняет при следующем включении. Таким образом реализуется система плагинов — дополнительной функциональности трояна, позволяющей реализовать любые сценарии извлечения «пост-продажной прибыли».

Контакты

ValdikSS <iam@valdikss.org.ru>