Questo articolo è un approfondimento tecnico effettuato sul campione individuato dal CERT-AgID nel mese di Maggio 2022 che aiuta a svelare la natura del malware Coper, utilizzato di recente da campagne malware che prendevano di mira dispositivi mobili, e che fornisce interessanti spunti di riflessione sulle tecniche utilizzate dai suoi sviluppatori per proteggere il sample, per comunicare con il C2 e gestirne le risposte, per garantirsi la persistenza sul dispositivo una volta compromesso e su come impedisce agli analisti di fare attribuzione basata sui paesi immuni.

Il Manifest

Come per tutte le applicazioni Android anche per Coper l’analisi inizia dal Manifest.

Il Manifest contiene la lista dei componenti di un’applicazione e permette di delineare una panoramica delle funzionalità senza entrare subito nei dettagli del codice.

Di seguito illustriamo un sunto incentrato su i due aspetti che più sono utili per farsi un’idea delle funzionalità del malware: i permessi ed i componenti dell’App.

I permessi

Per funzionare, il malware richiede almeno Android 5.0, un requisito che è soddisfatto da più del 97% dei dispositivi Android alla data attuale (19/07/2022), e 26 permessi divisi nelle seguenti categorie:

• Gestione delle altre app (CLEAR_APP_CACHE, REQUEST_DELETE_PACKAGES, REORDER_TASKS)
• Esecuzione in background (FOREGROUND_SERVICE, RECEIVE_BOOT_COMPLETED)¹
• Gestione SMS e telefonia (RECEIVE_SMS, READ_SMS, READ_PHONE_STATE, SEND_SMS, READ_PHONE_STATE, CALL_PHONE, ADD_VOICEMAIL)
• Creazione di notifiche (ACCESS_NOTIFICATION_POLICY, VIBRATE)
• Gestione del risparmio batteria in background (WAKE_LOCK, REQUEST_COMPANION_RUN_IN_BACKGROUND, REQUEST_COMPANION_USE_DATA_IN_BACKGROUND, REQUEST_IGNORE_BATTERY_OPTIMIZATIONS)
• Blocco software del dispositivo (MODIFY_AUDIO_SETTINGS, USES_POLICY_FORCE_LOCK)
• Connettività (INTERNET, ACCESS_WIFI_STATE, ACCESS_NETWORK_STATE)
• Modifiche ed accesso al sistema (INSTALL_SHORTCUT, WRITE_SETTINGS, READ_EXTERNAL_STORAGE)

Un servizio in foreground è comunque un servizio eseguito indipendentemente dall’activity attualmente attiva.

Il profilo che si delinea è quello del classico malware per Android che garantisce l’accesso al dispositivo tramite servizi in background, raccoglie informazioni riguardanti le applicazioni installate (con il fine di presentare gli Inject appropriati), legge e redirige SMS e chiamate per ottenere i codice 2FA e blocco software del dispositivo (l’audio viene disattivato e lo schermo bloccato in continuazione, impedendo l’utilizzo del dispositivo).

I componenti

I permessi utilizzati, da soli, non sono sufficienti per determinare le caratteristiche di un malware per Android. Infatti, al di là del codice effettivamente presente nell’applicazione malevola, componenti come servizi e broadcast receiver richiedono a loro volta permessi appositi per poter essere lanciati e tali permessi sono ottenuti a runtime (ad esempio la necessità di avere il permesso BIND_ACCESSIBILITY_SERVICE per poter avviare un servizio di accessibilità).

Analizzeremo i vari componenti di seguito limitandoci qui a questa breve panoramica:

• Applicazione. Nel manifest è indicata un’apposita classe come tipo dell’oggetto applicazione. Questo permette di eseguire codice durante il ciclo di vita dell’applicazione stessa (anzichè dei singoli componenti) ed è una tecnica ben nota ed usata per il caricamento a runtime di classi aggiuntive contenute in file DEX esterni. Vedremo sotto il dettaglio.
• Activity principale. Comporta la visualizzazione di un’icona nel launcher.
• Receiver per Device Admin. Intent Receiver per dare funzionalità di amministratore all’applicazione.
• Vari Receiver e Activity per la lettura e l’invio degli SMS, MMS e notifiche WAP e per rispondere alle chiamate in ingresso con un SMS (un modo per silenziare quest’ultime).
• Un Receiver che fa da raccoglitore di eventi del sistema (avvio, connettività, installazione e rimozione applicazioni, presenza dell’utente, stato dello schermo).
• Un servizio di accessibilità che dà il controllo completo del dispositivo al malware.
• Circa una quarantina tra Receiver e Activity generiche (stando a quanto contenuto nel manifest).

DEX a runtime

La presenza di una classe specifica per intercettare gli eventi del ciclo di vita dell’applicazione fa pensare al classico meccanismo di caricamento di DEX aggiuntivi a runtime. Infatti le classi effettivamente presenti nel DEX nell’APK corrispondono a servizi ed activity che non fanno niente. A titolo di esempio si riporta il codice di due di questi componenti:

Ci sono solo tre classi utili all’interno dell’APK:

1. BuildConfig contiene la versione dell’applicazione che in questo sample è impostata a 5.5.
2. C0265R è la classe delle risorse (Il cui nome è R quando non offuscata).
3. LBXlHKkaN è la classe dell’applicazione, dove già è visibile che il metodo attachBaseContext è stato “overridato”.

Altri componenti e JNI

Risulta ormai chiaro che i componenti presenti nel manifest ma mancanti nell’APK sono caricati a runtime in attachBaseContext. il metodo che contiene il codice della classe è il seguente::

Il compito di questa classe è quello di caricare la libreria uXTAbVUl ed eseguire il proprio metodo jpXOrO: quest’ultimo è un metodo nativo e quindi implementato dalla libreria appena caricata.

E’ interessante notare che questa scelta di utilizzare una libreria nativa può limitare le architetture su cui il malware può eseguirsi. Le architetture supportate sono mostrate in figura:

Il malware supporta quindi x86 (32 e 64 bit) ed ARM (32 e 64 bit, nello specifico v7a e v8a), quindi la virtuale totalità dei dispositivi Android.

Per ottenere il file DEX con gli altri componenti è necessario analizzare il codice nativo. Si è scelto quindi di analizzare la versione x86_64 in modo da usare una versione gratuita di IDA per Linux.

Quando alla JVM è richiesto di risolvere il nome di un metodo nativo Class::method, essa cerca nelle librerie caricate un metodo di nome Java_<mangled_full_class_name>_<mangled_method_name>. Le specifiche (tra cui il mangling) sono definite qui ed includono la possibilità di avere metodi nativi overloadati. Ci si aspetta quindi di trovare nella libreria un simbolo pubblico di nome Java_com_leadendq_LBXlHKkaN_jpXOrO. Infatti questo è l’unico metodo esportato alla JVM in quanto è l’unico che inizia per Java_.

Un rapido sguardo ai simboli e al codice presenti nella libreria ci informa che è stata scritta in C++: i nomi seguono infatti il mangling C++ (che è ripreso dall’ABI dell’architettura Itanium anche per le altre architetture). L’esempio sotto è chiarificatore:

Notiamo anche che le stringhe sono generate tramite chiamate a strcpy e strcat (tecnicamente alle loro versioni safe esposte da bionic, l’implementazione di libc di Android). Infatti Java_com_leadendq_LBXlHKkaN_jpXOrO contiene un enorme prologo in cui sono generate le stringhe usate, concatenando un carattere alla volta.

Quello che si osserva è probabilmente il risultato di un’offuscazione ottenibile tramite meta-programmazione (ovvero tramite template).

Ci sono due inconvenienti per l’analisi del codice di questa libreria:

1. Le chiamate all’oggetto JNIEnv che per loro natura appaiono come chiamate indirette della forma call [base + displacemente].
2. L’offuscazione delle stringhe che amplifica il codice di una funzione ed è difficile da seguire manualmente.

Ogni funzione JNI riceve come primo parametro un puntatore ad oggetto JNIEnv: questo rappresenta l’ambiente della JVM e fa da collante tra il mondo nativo e quello Java. In particolare permette di chiamare metodi di oggetti, di creare stringhe, array e così via.

JNIEnv è definito come un puntatore ad una struttura JNINativeInterface (la quale è a sua volta un array di puntatori alle varie funzioni esposte). Questo layout (che ha una rappresentazione grafica qui) è in realtà identico a quello degli oggetti C++ (sempre sotto ABI itanium che fa da standard di riferimento) e COM che in realtà si tratta di una classica vtable.

Dato che la vtable è documentata, è possibile utilizzare uno script per annotare accanto ad ogni call la funzione chiamata. Alternativamente sarebbe possibile descrivere la struttura in IDA e lasciare che sia questa a risolvere le chiamate. È stato scelto di utilizzare iced-x86 per analizzare il codice macchina e generare lo script IDC!

Estrarre il DEX

Lo script mostrato sotto genera lo script IDC per annotare le chiamate JNIEnv e per ricostruire le stringhe.

Lo script è strutturato in tre parti:

1. make_block è una funzione che a partire da un VA in un ELF costruisce un CFG rappresentato da un grafo di dizionari collegati. I blocchi sono usati per l’analisi del codice macchina.
2. trace_strings è la funzione che ricostruisce le stringhe. L’idea su cui si basa è semplice: ogni stringa inizia con una chiamata a __strncpy_chk2 e l’indirizzo a cui scriverla è calcolato con un’istruzione del tipo lea r64, [rsp+displacement]. I caratteri sono poi aggiunti tramite __strncat_chk uno alla volta. Questa funzione quindi implementa un’esecuzione simbolica e concreta minimale per supportare quella manciata di tipi di istruzioni generati dal meccanismo di offuscazione (maggiori dettagli sono riportati nei commenti del codice).
3. find_env_calls è la funzione che risolve i nome delle chiamate JNIEnv.

Il risultato ottenuto eseguito il codice python è lo script IDC mostrato sotto.

Una volta eseguito su IDA otteniamo degli utili commenti per l’analisi.

I metodi di classi Java sono chiamati dal codice nativo tramite tre passaggi:

1. Una chiamata al metodo GetObjectClass di JNIEnv per ottenere un oggetto jclass nel quale ricercare il metodo di interesse;
2. Una chiamata a GetMethodID di JNIEnv per ottenere un oggetto jmethodID che rappresenta il metodo trovato;
3. Il metodo è chiamato tramite il metodo CallObjectMethodV o un suo wrapper (come è il caso di questo sample che è scritto in C++, linguaggio per il quale JNI mette a disposizione tipi appositi).

Un esempio di questi tre passaggi è mostrato sotto, dove il codice recupera un’istanza della classe Resources. Non ci siamo soffermati sui parametri di queste funzioni, in particolare sul fatto che, per via dell’overloading delle funzioni, è necessaria indicare la firma del metodo voluto e quindi molte stringhe saranno firme di metodi.

Mostrare il codice di ogni funzione della libreria nativa sarebbe troppo prolisso quindi ci limitiamo a fornire il database IDA annotato e a riassumere quanto fatto da questa:

1. Il file DEX finale viene scritto in due possibili percorsi. O dentro la directory dei dati dell’applicazione o dentro la directory, sull’SD esterno, assegnata all’applicatione. In entrambi i casi, alla directory scelta è aggiunto il percorso /cache/tgvfowooof. In questo sample è usata la directory interna dell’App.
2. Viene usato openRawResources per aprire la risorsa com.leadendq:raw/tgvfowooof (che contiene il DEX cifrato) e leggerlo in un array di byte.
3. L’array viene decifrato tramite RC4 (sotto è mostrato il codice standard per l’inizializzazione della chiave) con la chiave EFAXVStkcDXNGbc3odLA5hHsC6osT5SE.
4. Il file è scritto su disco e viene aggiunto al thread un ClassLoader con percorso di ricerca indicato nel primo punto.

Il file DEX può quindi essere prelevato dalle risorse, ad esempio con apktool -d o simili, e decifrato, per comodità, anche con cyberchef.

Preparazione al reverse – jrename

Ottenuto il DEX è possibile analizzarlo con JADX, gran parte del bytecode viene decompilato egregiamente.

Nella maggior parte dei casi i nomi delle classi, dei metodi e dei campi sono offuscati, come molti decompilatori anche JADX cambia i nomi per renderli leggibili ma ovviamente sono nomi non significativi. Per gli APK con un gran numero di funzionalità non è possibile memorizzare le funzionalità di ogni nome ma è necessario rinominare i metodi, i campi e le classi.

JADX, che è sia un decompilatore che una sorta di IDE per la navigazione del codice decompilato, permette di rinominare le entità ed è quindi usabile per il compito successivo dell’analisi, ovvero il reverse engineering vero e proprio.

Per prima cosa è stato convertito il file DEX in un JAR, in questo caso usando enjarify:

Le classi dentro il JAR hanno come nomi parole chiave riservate:

Inoltre, i metodi ed i campi delle classi hanno nomi che sono riutilizzati varie volte. Possiamo ora rinominare e decompilare il file JAR:

Otteniamo così un file jar (coper_renamed.jar) e dei sorgenti su cui possiamo lavorare.

Preparazione al reversing: decifrare le stringhe

Il renaming ha permesso di ottenere codice con nomi univoci (e a codice prefisso) per ogni entità ed è quindi facile rinominare classi e metodi via via che si procede al reversing.

Dando un’occhiata al codice però possiamo osservare spezzoni tipo questo:

I metodi hanno nomi sequenziali ma si notano chiamate a Class45a.method67a con stringhe esadecimali. Questo ci spinge a pensare che probabilmente si tratta di una funzione di decifratura delle stringhe. La classe Class45a si presenta così:

Si nota subito che si tratta di RC4 ed altrettanto immediato è possibile decifrarlo con Cyberchef.

Con uno script python possiamo modificare i “sorgenti” per decifrare le stringhe. Dato che non tutte le chiamate a Class45a.method67a avvengono con uno string literal come parametro, l’approccio usato è quello di trovare tutte gli string literal che rappresentano numerali esadecimali con un numero pari di cifre, rimpiazzarli con il valore decifrato e poi sostituire una generica chiamata Class45a.method67a(X) con X. Il codice python realizzato per l’occasione è il seguente:

Reversing: la fase locale

Abbiamo ora a disposizione i sorgenti decompilati con:

• Le stringhe decifrate;
• Ogni entità (classe, metodo o campo) ha un nome univoco e a codice prefisso.

Siamo nelle condizioni di iniziare l’operazione di reversing vero e proprio. Una volta compreso il comportamento e la funzione di un metodo o di un campo, questi sono rinominati con un nome utile (es: showBlackScreen).

Nella fase locale viene tenuto in considerazione solo il codice del metodo ed il codice “intorno”. È una fase certosina, spesso ci si ritrova a dover continuamente spostare l’attenzione da una funzione all’altra. La vera arma è la pazienza, perchè Coper utilizza 260 metodi, 71 classi e 156 campi.

Alcuni metodi non sono decompilati correttamente e JADX ci offre un codice meno strutturato in questi casi:

Reinterpretando il codice, l’esempio sopra diviene:

Lo strumento jrename in output fornisce una mappa di renaming. Quando salvata in un file insieme ai file .java decompilati, l’operazione di Trova/Sostituisci rinominerà automatica i nomi anche nel file di mapping. Questo verrà comodo per mappare i nomi del manifest nei nomi finali scelti dall’analista.

Alla fine della fase locale di reversing si ha un insieme di sorgenti decompilati che assomigliano al codice sorgente originale. A questo punto è possible passare alla fase globale.

Reversing: la fase globale

Una volta determinato il compito di ogni metodo, classe (e volendo di ogni campo) è necessario vedere come interagiscono tra di loro. Questa è la fase globale del reversing, quella in cui si guarda il malware dall’alto e si connettono i punti.

Iniziamo dai punti di ingresso. Per un malware Android i punti di ingresso sono vari perchè ogni app Android espone più componenti.

Analizzando il file manifest vediamo che sono presenti i seguenti componenti:

I componenti marcati con un asterisco sono quelli che possono fungere da punto di ingresso dell’applicazione appena installata. Successivamente, con l’intervento utente (o automaticamente) acquisirà altri punti di ingresso.

In questa fase di analisi risulta utile realizzare degli schemi che indichino le interazioni tra i componenti. Per necessità di semplificazione questi schemi non potranno includere tutti i dettagli (i quali si possono trovare nel codice, che rimane la fonte ultima di riferimento).

Schema dei punti di ingresso

Nello schema sotto abbiamo messo a sinistra i punti di ingresso del malware, ovvero l’activity principale, la ricezione di un SMS ed un receiver configurato per ricevere un ampio parco di eventi (boot, presenza dell’utente, blocco/sblocco dello schermo, installazione/rimozione app, risveglio dalla modalità doze, ricezione SMS).

Come avviene per moltissimi malware per Android, anche Coper usa le SharedPreferences come fulcro centrale di coordinamento. In queste sono salvati vari valori che orchestrano componenti altrimenti separati, sotto forniamo una tabella con i vari valori. Il nome del file usato per le SharedPreferences è “main“.

Il cuore del malware si basa, come sempre, su un servizio di accessibilità malevolo e fa leva sulle numerose funzionalità di Android.

Gli entry-point

Un primo entry-point, quello più semplice, è legato al receiver SMSStealer, configurato per essere chiamato quando viene ricevuto un SMS (supposto che l’utente fornisca i permessi o che l’app se li prenda una volta impostato il servizio di accessibilità).

Quando viene ricevuto un nuovo SMS, Coper lo serializza in un oggetto JSON e:

1. lo aggiunge alle SharedPreferences sotto la voce “new_sms” (questo valore viene inviato ad ogni ping);
2. lo invia subito al C2.

Come si vede c’è un po’ di ridondanza poichè il C2 può ricevere lo stesso SMS due volte. In generale, il C2 può rispondere di rimuovere un SMS dalla lista in “new_sms“, probabilmente a seguito della sua corretta ricezione. L’invio immediato è fatto probabilmente per ridurre la latenza: il ping infatti avviene ogni 60 secondi.

L’altro entry-point è il receiver RepeatedPingReceiver. Questo è chiamato a seguito di vari eventi (si faccia riferimento al manifest) inclusi:

• boot
• presenza utente
• blocco/sblocco schermo
• ricezione SMS
• uscita dal doze mode
• installazione/rimozione app
• cambio connettività.

Il compito di questo receiver è avviare il ciclo di Ping del malware verso il C2.

Il ciclo è effettuato con una sveglia (alarm) ripetuta ogni 60 secondi ed in grado di svegliare il telefono (RTC_WAKE):

Il ping invia al C2 una serie di dati che analizzeremo meglio in seguito. Nelle SharedPreferences è presente il valore “is_registered” che è usato per determinare se il bot ha già effettuato la registrazione con il C2, ovvero se ha già effettuato un ping. Il primo Ping differisce, come informazioni dai successivi.

Oltre all’avvio del ciclo di Ping, il receiver lancia anche il servizio Bot che ha lo scopo di eseguire alcuni comandi ricevuti dal C2.

L’Activity principale

Infine, c’è l’Activity principale. Stranamente questa activity non necessariamente cerca di far installare il servizio di accessibilità all’utente.

Per prima cosa salva il nome del proprio package nelle SharedPreferences, questo verrà usato in seguito per nasconderne l’icona se richiesto, a conferma del fatto che l’activity non è fondamentale.

Il codice dell’activity prosegue effettuando un’operazione particolare: richiama infatti Misc.registerAllIntents

Questo metodo tenta di registrare RepeatedPingReceiver (già descritto sopra) con ogni possibile evento disponibile. Questo assicura al malware l’esecuzione del ciclo di ping in ogni condizione (notare che il codice di Misc.startPinging può essere chiamato n volte perchè un servizio in esecuzione non viene fatto ripartire da Android e perchè l’impostazione della sveglia cancella quella precedente).

Solo se opportunamente configurato, viene tentato di indurre l’utente ad installare il servizio di accessibilità:

Di default “show_acsb” è impostato a false, poichè il file delle preferenze è vuoto inizialmente.

Perchè non viene richiesto di installare un servizio di accessibilità?

Anche se l’utente non è indotto a compiere questa installazione, Coper avvia comunque il ciclo di Ping ed il servizio di Bot. Avviene quindi una comunicazione con il C2 dove:

• Nel primo ping (di registrazione) sono inviate varie informazioni sul dispositivo, tra cui lingua e paese.
• Il C2 può, nella sua risposta, indicare di indurre l’utente ad installare il servizio di accessibilità.

Considerando che uno dei comandi inviabili dal C2 è “kill_bot“, per la rimozione del malware, è ipotizzabile che Coper non installi il servizio di accessibilità finchè il C2 non ha opportunamente verificato la nazionalità della vittima. Questo modo di fare non è nuovo: l’aver spostato il controllo lato server impedisce agli analisti di fare attribuzione basata sui paesi immuni.

Il Ciclo di Ping e Bot

Il diagramma pubblicato prima è molto generico. Per capire come funziona Coper è necessario focalizzarsi sul ciclo di Ping e la classe Bot. Lo schema qui sotto espone meglio le interazioni di questi componenti:

La classe che si occupa di comunicare con il C2 è Net. Questa ha un metodo statico (Net.makeRequest) che ha il compito di inviare al C2 un ping.

Il codice è strutturato in modo che le istanze di Net prendano come parametro del costruttore un payload json, al quale sono aggiunte una serie di proprietà e poi il tutto è inviato al C2. In questo modo, la classe può inviare non sono ping ma anche richieste differenti (ad esempio gli SMS ricevuti) pur mantenendo uno schema di base.

Per generare il payload del primo ping viene usato il seguente metodo:

Come si può notare, al C2 sono inviati tra l’altro:

• Numero di telefono
• Paese e lingua del dispositivo
• Nome dell’operatore
• Applicazioni di sistema installate

Questo permette al C2 di decidere quale comando inviare in base alla nazionalità della vittima.

I ping successivi usano il seguente payload:

Sono presenti meno informazioni e, in particolare, troviamo (oltre ad alcune info già viste):

• Gli SMS ricevuti e salvati (e non ancora rimossi secondo ordine del C2).
• Le app installate (ma solo ogni 10 minuti).
• I task ed i relativi risultati eseguiti (i task sono descritti in seguito).

Dato un payload JSON da inviare (sia di registrazione, di ping, di errore o altro) questo viene passato ad una nuova instanza di Net. Net eredita da AsyncTask per cui è eseguibile in background in un executor: il metodo onBackground tenta l’invio 5 volte con una pausa di 5 secondi tra ogni tentativo.

Ogni tentativo di invio usa Net.doPing il quale ha due compiti:

1. aumentare il payload con informazioni standard;
2. effettuare l’effettiva richiesta HTTP e creare un oggetto Response con la risposta ottenuta avendo cura di gestire eventuali errori.

Informazioni standard aggiunte ad ogni payload

Di seguito un elenco delle informazioni condivise:

• Nome dell’applicazione. Questo è un nome configurabile, può aiutare a censire la campagna lato attaccanti.
• L’ID del bot. L’ID del bot e del device differiscono. Il secondo è l’IMEI se disponibile, altrimenti l’ANDROID_ID, mentre il primo è un valore derivato dalle caratteristiche hardware del dispositivo. Entrambi variano al variare del telefono quindi non è chiara la distinzione.
• Se l’app può gestire gli SMS.
• Se l’app è tra le app admin.
• Se è attivo i locking del dispositivo fatto dal malware.
• Se e come il servizio di accessibilità è installato. Questo permette di farlo installare o rimuovere.
• Se l’app può ricevere le notifiche di altre app.
• Il livello della batteria e se è connesso al caricatore.
• Se il cellulare ha lo schermo bloccato (la normale funzionalità di blocco schermo).
• Se l’app ha ricevuto i permessi necessari al malware.
• Se c’è un task da eseguire per il servizio di accessibilità.
• Da quanto tempo il bot è registrato.
• Se il keylogger è attivo.
• La configurazione del servizio VNC (usato per simulare desktop remoto).
• Se il bot è eseguito come servizio foreground (visibile all’utente ma non interrompibile).
• Se il dispositivo ha poca RAM.
• L’IP esterno del dispositivo.

Tutte queste informazioni forniscono una paronamica generale sul dispositivo infetto e sicuramente andranno ad aggiornare una elaborata dashboard.

Una volta costruito il JSON finale, questo viene inviato all’ultimo dominio funzionante usato o, la prima volta, al primo valido.

La comunicazione con il C2

Di seguito il codice con i domini censiti nella classe Config insieme ad altri parametri individuati in questo campione:

Net.doPing si occupa di trovare un dominio valido facendo uso di Net.doHTTPPost che è il vero metodo che effettua la connessione HTTP al C2.

Questo è l’estratto del codice rilevante di quel metodo:

Da notare che:

• Viene usato un header custom. Questo sample usa: Packets-sent: 60170
• Il JSON è serializzato in una stringa.
• La stringa è cifrata. La cifratura è in Misc.encryptPacketPayload ma brevemente: Viene usato AES-ECB-128 con padding PKCS5. La chiave è il valore dell’header custom (60170) dopo che ne viene preso l’MD5 e convertito in esadecimale. Il risultato è codificato in base64.
• La stringa viene compressa con GZIP, livello massimo (9). Anche se comprimere dopo aver cifrato non ha molto senso.
• Il risultato è inviato come corpo della richiesta POST.

L’operazione di cifratura è la seguente:

md5sum(string):
   return to_hex(md5(string));  //to_hex non aggiunge prefissi 0x

cifra(payload):
   return to_base64(AES_encrypt(mode = ECB, padding = PKCS5, key = md5sum(Config.customHeaderValue), message = json_to_string(payload)));

Se l’operazione va a buon fine, viene letta la risposta. Questa passa per un processo di decifratura che è inverso a quello usato per l’invio. Non viene però effettuato il decoding JSON poichè la stringa ottenuta è passata alla classe Response che si occuperà di processare la risposta.

La classe Response effettua due tipi di azioni:

1. modifica le SharedPreference, orchestrando quindi altri componenti del malware;
2. esegue dei task.

La nomenclatura di Coper è un po’ confusionaria ma in generale le funzionalità si possono dividere in:

• Interazioni. Solo per operazioni che fanno interagire il malware con l’utente (es: gli inject) o con il dispositivo (es: dandosi i permessi automaticamente).
• VNC. E’ una riproduzione di un desktop remoto. Comprende streaming, screenshot e task appositi.
• VNC task. Sono operazioni a supporto del desktop remoto e simulano l’interazione dell’utente con il dispositivo.
• Task. Sono operazioni richieste dal C2 che non rientrano nelle categorie precedenti.
• ACSB task. Questa è l’operazione che il servizio di accessibilità deve compiere in virtù dell’utente (ad esempio disabilitare Play Protect). Non è un task dato dal C2 ma è conseguenza delle azioni richieste da quest’ultimo. Viene impostato dalla classe Bot ed eseguito dalla classe ACSBService (il servizio di accessibilità).

Il codice di riferimento si trova in Response.initResponse.

La risposta del C2 è un JSON

Le principale funzionalità sono:

• Possibili domini C2 extra.
• Codice HTML degli inject da usare.
• Abilitazione e disabilitazione inject.
• Abilitazione e disabilitazione keylogger.
• App da disinstallare.
• App di cui impedire l’utilizzo (simulando la pressione del tasto home).
• App di cui bloccare le notifiche.
• Vari delay per specifiche funzionalità (es: per gli inject).
• Può effettuare chiamate a numeri arbitrari.
• Può inviare SMS arbitrari.
• Ha un funzionalità di auto test (vedi dopo).
• Abilitazione intercettazione notifiche.
• Blocco software del telefono (e relativo sblocco). Questa è la classica funzionalità per impedire l’utilizzo del telefono. Viene disattivato l’audio, la luminosità ridotta al minimo (se possibile) e mostrata un overlay (o una webview se non possibile) nera che oscura il contenuto dello schermo.
• Può mostrare notifiche arbitrarie per aprire app arbitrarie.
• Può disinstallarsi.
• Può abilitare la funzionalità VNC per fare streaming dello schermo, screenshot, silenziare il telefono, cambiare la luminosità, cambiare il timeout per il blocco schermo a mezz’ora.
• Può simulare l’interazione dell’utente sullo schermo (tap, tap lunghi, gesture, copia-incolla, pressione tasti fisici, swipe)

I task

I task sono salvati in un file di nome .q<package malware> nella directory dell’applicazione. In formato JSON.

I task ed i task VNC sono eseguiti direttamente da Response. Mentre le Interazioni e la funzionalità VNC è eseguita dalla classe Bot. L’ACSB task è ovviamente eseguito dal servizio di accessibilità ma su richiesta della classe Bot.

Questa classe è eseguita insieme al Ping e finisce per eseguire un ciclo in cui le SharedPreferences sono lette per verificare quale azione compiere (Bot.mainLoop).

Coper si preoccupa di acquisire un WakeLock per evitare la sospensione del bot (fintanto che non si sarà messo nella whitelist dell’ottimizzazione batteria).

Il bot si occupa inoltre di aggiornare l’uptime salvato nelle SharedPreferences, di verificare la presenza di nuovi Inject da scaricare, di ottenere le informazioni relative all’IP esterno del dispositivo (tramite un servizio di IP info in Config.IPAPIUrl, nello specifico http://www.ip-api.com/json) e di fare un nuovo ping al C2.

Se il servizio di accessibilità è installato

Qualora il servizio di accessibilità sia installato, vengono effettuate anche le seguenti operazioni (in un ciclo):

• Parsa il comando “vnc” per impostare vari valori nelle SharedPreferences al fine di coordinare il servizio di accessibilità ed i servizi di screenshot e streaming. Inoltre disabilita notifiche, luminosità e suono se richiesto. L’intento è quello di operare sul dispositivo della vittima senza farsi notare.
• Se non è attivo il comando “vnc”, fa eseguire al servizio di accessibilità l’ACSB task se presente.
• Se “vnc” non è attivo, invia i dati del keylogger (salvati in un file kl.txt nella directory dell’app) al C2.
• Se “vnc” non è attivo, blocca il dispositivo (come indicato sopra) se richiesto.
• Se “vnc” non è attivo, prova ad impostarsi come gestore SMS.
• Se “vnc” non è attivo, prova a mettersi in whitelist per l’ottimizzazione batteria.
• Se “vnc” non è attivo, prova ad impostarsi come Device Admin e rimuovere le altre app Device admin.
• Se “vnc” non è attivo, prova a disabilitare Play Protect (servizio di protezione di Google).
• Se “vnc” non è attivo, prova ad impostarsi su Xiomi Autostart.
• Se “vnc” non è attivo, prova ad ottenere il permesso per scrivere le impostazioni di sistema.
• Se “vnc” non è attivo, prova ad ottenere automaticamente i permessi di cui ha bisogno (descritti ad inizio articolo).

Se il servizio di accessibilità NON è installato

Qualora il servizio di accessibilità non sia installato, viene fatta partire una finestra di decoy per indurre l’utente ad installarlo. Una volta installato, cancella le notifiche (per non destare sospetti nell’utente) e cancella la propria icona dalla home (nei dispositivi dove questo è possibile). Così facendo il malware diviene “invisibile” per l’utente.

Il decoy consiste in due componenti:

1. una finestra opzionale contenente una WebView e che mostra il codice HTML in Config.HTMLs;
2. un messaggio Toast che induce l’utente ad abilitare il servizio.

È interessante notare che, una volta abilitato il servizio di accessibilità, l’utente è riportato alla home perchè lo stesso servizio impedisce di riaccedere alle impostazioni di accessibilità.

L’HTML di decoy usato ha questa forma nel sample analizzato:

Il Toast mostrato è generato con questo codice:

Una volta installato, il servizio di accessibilità può eseguire dei task in automatico (oltre che funzione da keylogger e streamer per il servizio VNC).

Il codice per eseguire questi nuovi task si trova in ACSBService.doAcsbJob (con l’aiuto della classe Lay), questi includono:

• Minimizzare ogni app che contiene il nome del malware (si intende il nome fittizio del malware). Questo impedisce la disinstallazione o operazioni di verifica.
• Abilitare l’utilizzo di TeamViewer se presente.
• Impostare l’app come gestore SMS.
• Disabilitare Play Protect.
• Disinstallare un’app.
• Impostarsi in whitelist per la batteria.
• Impostarsi in Xiomi Autostart.
• Impostarsi come ricevitore di notifiche.
• Impostarsi come Device Admin.
• Concedersi i permessi di cui necessita.
• Concedersi il permesso di scrivere le impostazioni di sistema.
• Concedersi il permesso di creare finestre overlay (sopra ogni altra finestra).
• Escludersi dalle statistiche di utilizzo.
• Eseguire un comando “vnc_screen” per darsi il permesso di fare streaming dello schermo (Tramite la classe ScreenshotPermissionGranted).

I nuovi entry-point

Analizziamo i nuovi entry-point che il core può abilitare. Si tratta della ricezione di un evento di accessibilità, di una notifica e della gestione dello stato di Device Admin.

AdminRec è il receiver che gestisce lo stato di Admin. Il suo codice è molto semplice ma anche qui Coper usa messaggi fuorvianti per indurre la vittima a non disabilitare lo stato di Admin (cosa che comunque non è possibile quando il servizio di accessibilità è attivo). Infatti, se si prova a rimuovere l’app dall’elenco degli Admin, viene mostrato un messaggio (in inglese) che chiede all’utente se vuole cancellare tutti i dati, nel tentativo di scoraggiarlo.

Qualora l’app venga effettivamente rimossa dallo stato di Admin, come estremo tentativo Coper riapre le impostazioni di Admin in modo che il servizio di accessibilità la reinserisca in automatico.

Quando invece viene ricevuta una notifica, questa è inviata al C2 e se nelle SharedPreferences è indicato, la notifica è anche cancellata per evitare che l’utente la veda.

Il servizio di accessibilità esegue una serie di operazioni:

• Se lo streaming del servizio VNC è attivo, viene inviata la gerarchia delle view dello schermo, con tanto di testo. Questo permette di ricostruire fedelmente quanto visibile nello schermo.
• Se è attiva un’app per cui è presente un inject abilitato, questo viene mostrato.
• Impedisce l’accesso alle app indicate nelle shared preferences.
• Esegue l’ACSB task.
• Funziona da keylogger. Particolarità interessante è che i dati rubati includono informazioni di contesto come il package ed il nome della risorsa da cui provengono, eventuali URL. Inoltre Coper ha una funzionalità apposita per il furto del PIN/password/pattern per lo sblocco dello schermo.

Il keylogger di Coper è piuttosto distintivo poichè fornisce informazioni molto utili agli attaccanti e riesce perfino a recuperare i codici di sblocco del telefono. I dati acquisiti sono salvati in un file kl.txt e poi inviati dal Bot.

Il servizio VNC non utilizza l’omonima app, sfrutta invece il servizio di accessibilità per fare streaming del layout visibile sullo schermo oppure ScreenStreamService e SendScreenshotSrv per fare screenshot ogni secondo ed inviarli al C2.

Lo stream del layout richiede poca banda ma non mostra le immagini (solo testo e struttura) mentre lo stream a screenshot emula uno streaming come VNC ma richiede molta più banda perchè le immagini dei vari screenshot non sono compresse lungo l’asse temporale come avviene in uno streaming video.

Coper ha una funzionalità di Auto-Test (classe AutoTest) che permette di conoscere lo stato del bot.
Viene attivata quando il C2 chiede al bot di inviare un SMS al numero “7��”. Il contenuto del messaggio è il comando Auto-Test da eseguire.

I comandi Auto-Test sono:

• smarts – per ricevere gli inject configurati;
• prefs – per ricevere le shared preferences;
• info – per ricevere lo stato del servizio Bot e dei due di streaming e i permessi ottenuti.

Formato delle richieste e risposte verso il C2

Come esposto sopra, le richieste al C2 sono in formato JSON. Ogni richiesta (ping, registrazione, nuovo sms, screenshot, e così via) è un oggetto JSON con il suo formato a cui sono aggiunti delle proprietà standard.

Il JSON è poi serializzato in una stringa, cifrato con AES-128-ECB con padding PCKS5 e chiave presa dalla configurazione statica del malware (Config.customHeaderValue, 60170 nel campione analizzato), il risultato è convertito in base64 e GZIP.

Il tutto è inviato alle URL configurate tramite POST HTTP standard a cui è aggiunto un header di nome Config.customHeaderName (Packet-Sent nel campione analizzato) e valore pari alla chiave AES usata.

Da investigare se il C2 usa questo header per ottenere la chiave di decifratura o se l’header è usato per discernere le richieste fatte dal malware.

Nota: con “0” o “1” si intendono le stringhe contenenti i caratteri ‘0’ e ‘1’, non i numeri 0 e 1.

Proprietà standard di ogni richiesta

lB	Funzionalità non chiara. Il valore è preso da Config e vale DONOTFILTER.
lL	“1” se nel dispositivo è installata l’app Config.applicationTitle, il carattere “0” altrimenti.
bI	ID del bot.
iA	“1” o “0” a seconda se il malware è gestore di SMS.
dA	“1” o “0” a seconda se il malware è Device Admin.
lK	“1” o “0” a seconda se è attivo il blocco software del dispositivo.
iAc	“0” se il servizio di accessibilità non è installato, “1” se lo è ed è avviato, “2” se lo è ma non è avviato.
iPa	“1” o “0” a seconda se il receiver delle notifiche è stato abilitato.
iBC	Intero con il livello della batteria.
iCP	“1” o “0” a seconda se il dispositivo è collegato alla corrente.
iSE	“1” o “0” a seconda se lo schermo è bloccato.
iSp	Intero che indica il numero di volte che il malware ha provato ad assegnarsi automaticamente i permessi.
iFp	Elenco CSV dei permessi non ancora ottenuti (i nomi NON sono FQN, esempio: SEND_SMS e non android.permission.SEND_SMS).
cTsk	Task ACSB corrente o “”.
up	Intero che rappresenta l’uptime (secondi dalla registrazione) o 0 se mai registrato.
kL	“1” o “0” a seconda se il keylogger è abilitato.
vnc	Comandi VNC correnti.
fgM	“1” o “0” a seconda se il servizio Bot è in foreground o meno.
iAg	“1” o “0” a seconda se il dispositivo è un dispositivo con poca RAM.
rIP	Informazioni sull’IP esterno del dispositivo. Si veda Net.getRealIPInfo.
xc	Tipo di richiesta

Registrazione

xc	bR
tA	ID dispositivo
tB	Numero di telefono
tC	Paese del dispositivo
tD	Lingua del dispositivo
tE	Build release del dispositivo
tF	Modello del dispositivo
tG	Nome dell’operatore
lA	App di sistema installate

Ping

xc	bP
tA	ID dispositivo
tB	Numero di telefono
lA	App installate. Presente ogni 10 minuti.
rZ	Array JSON in cui ogni elemento è “task_id: task_result” per gli ultimi task del bot.
nS	JSON che rappresenta gli SMS ricevuti. Si vedano Misc.removeFromNewSMS e SMSStealer.makeObjFromSMS.

Nuovo SMS ricevuto

xc	bS
sA	Mittente
sB	Testo del messaggio
sT	Data in formato dd/MM/yyyy HH:mm:ss

Errore (eccezioni e simili)

xc	bP
rZ	Un array vuoto.
eM	Messaggio di errore

Stringhe

xc	bP
rZ	Un array vuoto.
kM	Stringa da inviare. Usata per alcune notifiche al C2.

Screenshot

xc	vncScr
fn	Nome del file
bs	Dati del file in base64

Dati rubati con inject

xc	sSD
sPK	Package dell’inject
spD	Dati dell’Inject.
sFd	Booleano. Vero se questo pacchetto contiene tutti i dati rubabili con l’Inject.

Richiesta di download inject

xc

gSWI

Invio delle informazione di layout della finestra corrente

xc	bP
rZ	Array vuoto
vncd	Dati. Si veda VNC.sendRootDataToPanel.

Risposta del C2

response	Se REG_SUCCESS il bot si è registrato correttamente. In realtà REG_SUCCESS è cercato come stringa nella risposta, potrebbe comparire in ogni proprietà.
response	Se una stringa che inizia per SMS_OK_ allora è seguita da un elenco CSV degli SMS correttamente ricevuti (saranno rimossi dalle SharedPreferences).
response	Se è un oggetto che contiene un array “smarts” rappresenta gli inject da salvare. vedi sotto.
panel_starts_ver	Progressivo per indicare la versione degli inject corrente
injects_to_enable	CSV degli inject da abilitare
injects_to_disable	CSV degli inhect da disabilitare
extra_domains	CSV degli URL C2 aggiuntivi
block_push_apps	CSV delle app di cui bloccare le notifica
minime_apps	CSV delle app di cui impedire l’accesso
uninstall_apps	CSV delle app da disintallare
block_push_delay	Delay per il blocco delle notifiche (prima di questo delay non è fatto)
minimize_delay	Simile a sopra
uninstall_delay	Simile a sopra
keylogger_delay	Simile a sopra
get_device_admin_delay	Simile a sopra
injects_delay	Simile a sopra
keylogger_enabled	1 se abilitare il keylogger
net_delay	Delay per i ping
vnc_tasks	Task VNC, array
tasks	Task, array

Formato degli inject

Ogni elemento dell’array è un oggetto JSON così strutturato:

is_active	Boolean vero se l’inject è attivo
package	HTML dell’inject o URL
cap_data	HTML dell’inject (con i dati catturati?) o URL
show_cap	Se usare data o cap_data
type	html oppure url
icon	Base64 con l’icona dell’inject

Formato dei task

Ogni elemento dell’array è un oggetto JSON del tipo:

id	Id del task
task_type	Tipo del task
data	Parametri del task

Tipi di task e formato dei dati

ussd	Numero da chiamare
sms	destinatario|messaggio. Se destinatario = “7 ” allora messaggio è un codice AutoTest.
register_again
lock_on
lock_off
intercept_on
vnc_start	Comando VNC
vnc_stop
push	Notifca con “titolo|testo|package da aprire”
kill_bot
start_keylogger
stop_keylogger
uninstall_apps	CSV app da disinstallare
start_fg
stop_fg
open_url	URL
disable_inject	Package inject
enable_inhect	Package inject
run_app	Package da lanciare

Formato dei task VNC

Ogni elemento dell’array è un oggetto JSON con le seguenti proprietà:

type	Tipo di task
data	Parametri del task

Tipi di task VNC e loro dati

clickat	coordinate
gesture	coordinate (multiple)
set_text	testo
long_click	coordinate
action	unlock_touch, quick_settings, lock_screen, swipe_up/down/right/left, back, home, power, toggle_split_screen, take_screenshot, recents, notifications
set_clip	testo
paste
send_pattern	pattern
scrool	direzione di scrool

Il formato del comando VNC

Il comando è formato da un serie di stringhe separate da punto e virgola (;)

STREAM_SCREEN	Invia screenshot al C2 ogni secondo
STRAM_LAYOUT	Invia il layout (con testo) della finestra corrente al C2
BLACK	Mostra un overlay nero sullo schermo
SILENT	Disabilita suono e notifiche

Formato delle shared preferences

Il formato delle SharedPreferences segue molto quello delle risposte del C2. Ovviamente ci sono delle differenze: ad esempio ogni inject è salvato in una preferenza stringa di nome inj_XXX dove XXX è il package target dell’inject ed il valore stringa è la serializzazione dell’oggetto JSON dell’inject stesso.

Il valore smart_injects contiene poi una lista CSV degli inject presenti. In modo simile vale per altre proprietà: gli SMS catturati sono salvati in new_sms, che è un oggetto JSON indicizzato dal timestamp dell’SMS.