Wat Rotexy Trojan doet: bankieren en blokkeren

februari 4, 2019

Onlangs heeft de mobiele malware Rotexy, een kruising tussen een banktrojan en een ransomware blocker, zich uitgebreid. In de maanden augustus en september hebben onze deskundigen meer dan 40.000 pogingen waargenomen om de kwaadaardige app te installeren op Android-smartphones. We hebben al enkele technische details en de biografie van dit beest gepubliceerd op Securelist, en nu onderzoeken we de bronnen van de infecties en hoe je er gratis vanaf kunt komen – met een paar simpele sms’jes.

Hoe de Rotexy banktrojan werkt

Rotexy verspreidt sms’jes met links om een app te downloaden en enkele pakkende zinnen om mensen te verleiden op de link te klikken en de app te downloaden. In sommige gevallen zijn de berichten afkomstig van vrienden. Dat is de reden waarom mensen daadwerkelijk op de links klikken.

Na het infecteren van een apparaat, begint de trojan druk zijn werkplek voor te bereiden om verder actie te kunnen ondernemen. Allereerst controleert Rotexy op wat voor apparaat het terecht is gekomen. Hiermee kan het werk van antivirusontwerpers belemmerd worden: als de malware ziet dat het in een emulator opereert, en niet op een echte smartphone, dan blijft het simpelweg eindeloos rondjes draaien in het opstartproces van de app. In de huidige versie van Rotexy gebeurt hetzelfde als het apparaat buiten Rusland opereert.

Pas na het vaststellen dat het apparaat voldoet aan deze basiseisen, begint de trojan te werken. Als eerste vraagt het administrator-rechten aan.  In theorie kan de gebruiker deze rechten weigeren, maar het verzoek zal steeds opnieuw verschijnen, wat het gebruik van de smartphone belemmert. Zodra het zijn zin heeft gekregen, doet Rotexy een melding dat de app niet geladen kan worden en verdwijnt het icoon.

Hierna maakt de malware contact met de eigenaar en speelt deze informatie over het apparaat door. De eigenaar stuurt dan instructies en een aantal templates en teksten. Rotexy communiceert standaard regelrecht met de C&C-server, maar de makers hebben andere manieren geïmplementeerd om opdrachten te versturen via Google Cloud Messaging en sms.

Rotexy de sms -dief

Wat betreft sms, Rotexy kan er geen genoeg van krijgen. Zodra een bericht aankomt op een geïnfecteerd apparaat, zet de malware de telefoon op stil, zodat het slachtoffer nieuwe sms’jes niet binnen ziet komen. De trojan onderschept vervolgens het bericht. Vergelijkt het met de templates van de C&C-server, en als er iets sappigs te vinden is (bijvoorbeeld de laatste cijfers van een kaartnummer in een internetbankieren sms-melding), wordt dit opgeslagen en doorgestuurd naar de server. Daarnaast kan de malware zulke berichten beantwoorden namens de smartphone-eigenaar: standaardantwoorden zitten ook in de templates, mochten ze nodig zijn.

Als er om wat voor reden dan ook geen templates of speciale instructies beschikbaar zijn op de C&C-server, dan slaat Rotexy alle correspondentie simpelweg op de geïnfecteerde smartphone op, en stuur het vervolgens door naar de eigenaren.

Daarbovenop komt dat de cybercriminelen de malware een link kan laten sturen naar alle contacten in de contactenlijst – wat een van de hoofdzakelijke vectoren is van de verspreiding van de Rotexy trojan.

Rotexy de banktrojan

sms-manipulatie is niet de enige truc die de malware in huis heeft, en zelfs niet de hoofdzakelijke. Dat is namelijk het genereren van geld voor de eigenaren, hoofdzakelijk door het stelen van bankkaartinformatie. Hiervoor overlapt het een phishing website op het scherm met tekst die meegestuurd is met de instructie voor sms-onderschepping. Hoe de website eruitziet kan verschillen, maar in het algemeen is het doel om de smartphone-eigenaar te vertellen dat er een geldoverboeking voor hem/haar klaarstaat en dat er kaartgegevens nodig zijn om het te kunnen ontvangen.

Voor de zekerheid hebben de malware-makers een bankkaart-validatiesysteem ingebouwd. Allereerst wordt de juistheid van het kaartnummer gecontroleerd (in het geval je het niet wist, de nummers op bankkaarten zijn niet willekeurig gekozen, maar zijn gegenereerd met bepaalde regels). Daarnaast pakt Rotexy de laatste vier cijfers van het kaartnummer van de onderschepte sms en vergelijkt deze met de ingevoerde gegevens op de phishing website. Als er iets niet klopt, dan geeft de malware een error en vraagt het de eigenaar om de juiste bankkaartgegevens.

Rotexy de ransomware

Soms krijgt Rotexy andere instructies van de C&C-server en wordt een ander scenario uitgevoerd. In plaats van de weergave van een phishing website, wordt het smartphone-scherm geblokkeerd met een dreigend venster dat een boete eist voor het ”regelmatig bekijken van verboden filmpjes”.

Rotexy imiteert een update-installatie, waarna het smartphone-scherm geblokkeerd wordt met een dreigend venster dat een boete eist voor het ”regelmatig bekijken van verboden filmpjes”

 

Fotografisch “bewijs” wordt in de bijlage toegevoegd in de vorm van een afbeelding van een pornografisch filmpje. Zoals vaker het geval bij mobiele ransomware, doen de cybercriminelen zich voor als een officiële instantie. Rotexy bijvoorbeeld noemt de “FSB Internet Control” (in Rusland bestaat deze entiteit echter niet).

Hoe deblokkeer je een smartphone die besmet is met de Rotexy Trojan

Het goede nieuws is dat het mogelijk is om een geïnfecteerde smartphone te deblokkeren en af te komen van het ”virus” zonder de hulp van specialisten. Zoals hierboven vermeld, kan Rotexy commando’s ontvangen via sms. Het mooie is dat ze niet vanaf een bepaald nummer gestuurd hoeven te worden, het nummer maakt niet uit. Dat betekent dat als je smartphone geblokkeerd is en je het kwaadaardige scherm niet kunt sluiten, je alleen een andere telefoon nodig hebt (die van een vriend of familielid bijvoorbeeld) en deze kleine instructie:

  • Stuur een sms naar jouw nummer met de tekst “393838.” De malware zal dit onderscheppen en als een commando behandelen om het adres van de C&C-server te verwijderen, waardoor de opdrachten van de cybercriminelen niet meer worden opgevolgd.
  • Stuur vervolgens “3458” naar jouw nummer – dit neemt de administrator-rechten af van de trojan waardoor je apparaat weer vrijkomt.
  • Tot slot moet je een sms sturen naar je telefoon met de tekst “stop_blocker”: deze commando zal Rotexy dwingen om de website of banner te verwijderen die het beeldscherm blokkeert.
  • Als de trojan hierna begint met het vragen naar de administrator-rechten, start je apparaat opnieuw op, in veilige modus (zie hier hoe), ga naar Applicatie Manager of Applicaties en Meldingen (de verschillende versies van Android hebben verschillende instellingen), en verwijder de malware van het apparaat – dit keer zonder weerstand. En klaar!

Let op dat de instructies voor het deblokkeren van een smartphone gebaseerd zijn op een analyse van de huidige versie van Rotexy; het kan anders zijn in toekomstige versies. Meer technische details over de trojan zijn beschikbaar in het de publicatie op Securelist.

Hoe te beschermen tegen Rotexy en andere mobiele trojans

Voordat je uitlogt, moeten we vermelden dat je veel minder tijd en energie verspilt door simpelweg te voorkomen dat de malware op je smartphone terechtkomt. Het voorkomen van besmetting is niet moeilijk, je moet simpelweg een aantal regels volgen: