Autor: Batou | 14.10.2013 |
A co že je na něm tak zvláštního? KanKan se registruje jako plugin pro Office, ale nemá žádnou Office funkcionalitu. V tichosti instaluje aplikace do telefonů s Androidem, připojených k počítači pomocí USB. A konečně - je podepsán v Číně velmi populární společností Xunlei Networking Technologies. Ta stojí za vznikem nejpopulárnějšího torrentového klienta na světě.
Vše začalo již před rokem, kdy se na několika čínských fórech objevily stížnosti na podezřelý program podepsaný společností Xunlei Networking Technologies. Vše skončilo několika palcovými titulky na čínských zpravodajských webech. Zmíněná společnost totiž není pro místní nikým neznámým - jejich program Xunlei, který umožňuje zvýšení rychlosti stahování torrentů, je extrémně populární. Je velmi propracovaný - byl pro něj vytvořen vlastní vyhledávací engine, multiprotokolní torrent klient, vlastní peer-to-peer protokol a mnoho dalšího. Funguje zjednodušeně tak, že si u každého souboru pamatuje lokaci, kde je uložen, a když pak o něj nějaký klient zažádá, je mu „předhozeno“ to nejlepší úložiště (rozumějte s nejrychlejším downloadem). Více o tom, jak to funguje najdete třeba na webu polytechnické univerzity v New Yorku. Podle TorrentFreaku ho využívalo v roce 2009 nejvíce uživatelů na světě (s více než 100 miliony peer IDs), druhý byl uTorrent (s 92 miliony). A to i přesto (či právě proto), že je oficiální verze programu pouze v čínštině.
Teď již něco k samotnému programu. K uživatelům je doručen jako instalátor pro Windows, který je propojený s instalačním skriptem (pomocí NSIS). Po spuštění informuje server kkyouxi.stat.kankan.com o započetí instalace. O tomto serveru bude ještě mnohokrát řeč. Program dále uloží mimojiné 3 soubory do systému - INPEn.dll, INPEnhUD.exe a INPEnhSvc.exe. První jmenovaný je načten do paměti a je zavolána jedna z jeho funkcí. Znovu je kontaktován server, aby program informoval o svém stavu.
INPEn.dll dále vytváří svojí kopii vypadající jako plugin pro Word, Excel a PowerPoint - InputEnhance. Nastaví se tak, že kdykoliv je později spuštěn jeden ze tří Microsoftích programů, je tento „plugin“ nahrán do paměti a jsou vykonány některé další kroky:
INPEnhUD.exe by mohl být trefně nazván jako updater. Stáhne soubor update.kklm.n0808.com/officeaddinupdate.xml, jehož obsah si můžete prohlédnout na obrázku:
INPEnhSvc.exe, který analytici z ESETu pracovně nazvali jako „service“ je jádrem celého programu. Tvůrcům programu možňuje zadávat příkazy, jež se dělí na 2 typy:
Jedním z posledních příkazů části nazvané „service“ je příkaz „installphoneapp“. Po připojení mobilního zařízení je nejdříve stažen tzv. Android Debug Bridge. Naštěstí pro většinu uživatelů - (velmi pravděpodobně) škodlivé aplikace, které se snaží software pomocí již známých „pluginů“ nainstalovat, se setkají s úspěchem jen tehdy, pokud má uživatel mobilního zařízení povolenou funkci USB debugging. To mají většinou jen vývojáři. Aby vše nebylo tak světlé - pokud se již podaří aplikace nainstalovat, uživatel si toho jistě nevšimne. Touto metodou totiž vše probíhá na pozadí, uživatel není vyzván k potvrzení toho, s čím aplikace bude pracovat. A o jaké aplikace vlastně jde?
Všechny mají společné rysy - napadeným uživatelům vždy nabízejí i slíbenou funkcionalitu - jsou prostě i k něčemu dobré. 3 z nich se našly na Google Play. Analytikům z ESETu se však zatím nepodařilo prokázat jejich škodlivé vedlejší funkce - kód aplikací je totiž silně obfuskovaný. V době psaní této aktuality je stále jedna z aplikací dostupná. Uživatelům údajně umožňuje zvýhodněné telefonní volání. Je ESETem detekována jako varianta Android/SMSreg.BT a je prý potenciálně nebezpečná (má určité podezřelé funkce, distribuje adware atp.)
A jak se k celé věci staví Xunlei Networking Technologies? Nejen, že byly soubory podepsány jejich jménem, ale i doména kankan.com, kterou využíval StatServer koresponduje se serverem jedné ze služeb společnosti. Po mnoha dalších intervencích od veřejnosti se tedy rozhodla firma zahájit vyšetřování, na jehož konci údajně vyhodila několik zaměstnanců, kteří za celou kauzou stáli. Také se veřejně omluvili.