El scamware móvil con motivación financiera supera los 100 millones de instalaciones

por

Investigación de Aazim Bill SE Yaswant y Nipun Gupta

Si bien algunas estafas motivadas financieramente pueden parecer simples en la superficie, la verdad es que los ciberdelincuentes están invirtiendo grandes cantidades de dinero en estrategias e infraestructura para ampliar sus campañas maliciosas. Esas inversiones están dando sus frutos a medida que los actores de amenazas continúan apuntando a los usuarios móviles con campañas exitosas.

En octubre, el equipo de Zimperium zLabs informó a la comunidad sobre GriftHorse, una campaña masiva de abuso de servicios móviles premium que comprometió a alrededor de 10 millones de víctimas en todo el mundo. En la búsqueda de identificar y acabar con estafas similares motivadas financieramente, los investigadores de zLabs han descubierto otra campaña de abuso de servicios premium con más de 105 millones de víctimas en todo el mundo, que hemos denominado Dark Herring. La cantidad total de dinero estafado a los usuarios desprevenidos podría volver a ascender a cientos de millones de dólares.

Estas aplicaciones maliciosas de Android parecen inofensivas al mirar la descripción de la tienda y los permisos solicitados, pero esta falsa sensación de confianza cambia cuando a los usuarios se les cobra mes tras mes por el servicio premium que no reciben a través de la facturación directa del operador. La facturación directa del operador, o DCB, es el método de pago móvil que permite a los consumidores enviar los cargos de compra realizados a sus facturas telefónicas con su número de teléfono. A diferencia de muchas otras aplicaciones maliciosas que no brindan capacidades funcionales, la víctima puede usar estas aplicaciones, lo que significa que a menudo se dejan instaladas en los teléfonos y tabletas mucho después de la instalación inicial.

La inteligencia de amenazas en la campaña activa de Dark Herring Android Scamware reveló que la fecha de publicación de las aplicaciones se remonta a marzo de 2020. Hasta la fecha, Dark Herring es la estafa de SMS móvil de más larga duración descubierta por el equipo de Zimperium zLabs.

Estas aplicaciones maliciosas se distribuyeron inicialmente a través de Google Play y tiendas de aplicaciones de terceros. Zimperium zLabs informó los hallazgos tanto a Google como a los servidores web, quienes verificaron la información proporcionada y eliminaron los materiales maliciosos como parte de una eliminación coordinada. En el momento de la publicación, los servicios de estafa y los sitios de phishing ya no están activos y Google ha eliminado todas las aplicaciones maliciosas de Google Play.

Sin embargo, las aplicaciones maliciosas todavía están disponibles en repositorios de aplicaciones de terceros, lo que una vez más destaca el riesgo de transferir aplicaciones a puntos finales móviles y la necesidad de seguridad avanzada en el dispositivo.

Divulgación: como miembro clave de Google App Defense Alliance, Zimperium analiza las aplicaciones antes de que se publiquen y proporciona un análisis continuo de las aplicaciones de Android en Google Play Store.

En este blog, haremos lo siguiente:

  • Cubrir las capacidades del scamware;
  • Discutir la arquitectura de las aplicaciones;
  • Mostrar la comunicación con el servidor C&C; y
  • Explore el impacto global de esta campaña.
Contenidos ocultar
1 Resumen de Dark Herring Android Scamware
2 ¿Cómo funciona el software fraudulento para Android Dark Herring?
3 Los actores de amenazas
4 Las víctimas de la estafa Dark Herring
5 Estafa para Android Zimperium vs. Dark Herring
6 Acerca de Zimperium
7 Relacionado:

Resumen de Dark Herring Android Scamware

Las aplicaciones móviles de Dark Herring representan una amenaza para todos los dispositivos Android al funcionar como un scamware que suscribe a los usuarios a servicios pagos, cobrando una prima mensual promedio de $15 USD por mes. Esta campaña se ha dirigido a millones de usuarios de más de 70 países al mostrar páginas web maliciosas dirigidas a los usuarios en función de la ubicación geográfica de su dirección IP con el idioma local. Este truco de ingeniería social es excepcionalmente exitoso y efectivo, ya que los usuarios generalmente se sienten más cómodos compartiendo información en un sitio web en su idioma local.

Tras la infección, la aplicación infectada con Dark Herring se comunica con el servidor C&C, exponiendo la dirección IP de la víctima. En función de la geolocalización de la dirección IP, la decisión de apuntar o no a la víctima para la suscripción de facturación directa del operador se toma mediante el uso de la lógica del lado del servidor. El malware redirige a la víctima a una página web geoespecífica donde se le pide que envíe sus números de teléfono para su verificación. Pero en realidad, envían su número de teléfono a un servicio de facturación directa del operador que comienza a cobrarles un promedio de $15 USD por mes. La víctima no nota de inmediato el impacto del robo, y la probabilidad de que la facturación continúe durante meses antes de la detección es alta, con pocos o ningún recurso para recuperar el dinero.

Los actores de amenazas responsables de Dark Herring generaron y publicaron casi 470 aplicaciones en Google Play Store durante un largo período, con la primera presentación que data de marzo de 2020 y tan reciente como noviembre de 2021. La cantidad de aplicaciones atribuidas a esta campaña indica que los actores de amenazas persistentes y motivados están continuamente ampliando su arquitectura y recursos para infectar a tantas víctimas como sea posible. posible maximizar sus ganancias.

Los investigadores de Zimperium zLabs notaron un patrón en la comunicación de C&C, lo que sugiere que los actores de amenazas han desarrollado una infraestructura para manejar la comunicación proveniente de varias aplicaciones con identificadores únicos y respondiendo en consecuencia.

Las estadísticas de descarga revelan que más de 105 millones de dispositivos Android tenían este scamware instalado, potencialmente siendo víctima de esta campaña a nivel mundial, posiblemente sufriendo pérdidas financieras incalculables. El grupo de ciberdelincuentes detrás de esta campaña ha construido un flujo de caja estable de fondos ilícitos de estas víctimas, generando millones en ingresos recurrentes cada mes, con un monto total robado potencialmente de cientos de millones.

¿Cómo funciona el software fraudulento para Android Dark Herring?

Una vez que la aplicación de Android está instalada y lanzada, una URL que actúa como punto final de la primera etapa se carga en una vista web. La URL se puede recuperar de una cadena codificada, las cadenas de recursos o descifrar una cadena. La URL de la primera etapa siempre es un punto final alojado en Cloudfront. La solicitud GET inicial enviada a la URL de Cloudfront se muestra en la Figura 1.

El scamware movil con motivacion financiera supera los 100 millones
Figura.1: La solicitud GET a la URL de primera etapa que contiene el nombre del paquete de la aplicación

La respuesta contiene los enlaces a los archivos de JavaScript alojados en las instancias de AWS y la aplicación obtiene todos los recursos para continuar con el proceso de infección, como se muestra en la Figura 2.

Uno de esos archivos JS le indica a la aplicación que obtenga un identificador único para el dispositivo al realizar una solicitud POST al punto final de la API «live/keylookup» y luego construir una URL de etapa final.

1684605191 236 El scamware movil con motivacion financiera supera los 100 millones
Figura.2: La respuesta de la URL de la primera etapa
1684605192 783 El scamware movil con motivacion financiera supera los 100 millones
Figura.3: El código JavaScript de uno de los puntos finales recuperados de la URL de la primera etapa

La variable baseurl, como se ve en la Figura 3, se usa para realizar una solicitud POST que contiene identificadores únicos creados por la aplicación para identificar el dispositivo y los detalles de idioma y país.

1684605193 444 El scamware movil con motivacion financiera supera los 100 millones
Figura.4: La solicitud POST que contiene los datos sobre el dispositivo de la víctima.

La respuesta del extremo anterior contiene la configuración del comportamiento de la aplicación según los detalles de la víctima. En la respuesta se encuentra una lista de países admitidos que indica que los ciudadanos de los países objetivo estarán sujetos a la suscripción de Direct Carrier Billing.

Según la configuración, la página web que se muestra a la víctima se personaliza en términos del idioma del texto, la bandera y el código del país.

Los actores de amenazas

A pesar de las similitudes en el enfoque entre esta campaña y GriftHorse, los investigadores de Zimperium zLabs han atribuido esta campaña a un nuevo grupo de actores de amenazas no afiliados a los atacantes de GriftHorse. Varias diferencias en el código base central y otros indicadores son exclusivos de esta campaña, junto con inversiones en infraestructura nunca antes vistas. El nivel de sofisticación, el uso de técnicas novedosas y la determinación mostrada por los actores de amenazas les ha permitido tener una distribución tan grande en todo el mundo.

La campaña Dark Herring es una de las campañas de malware más extensas y exitosas por la gran cantidad de aplicaciones que el equipo de investigación de amenazas de zLabs ha presenciado en 2021. Su éxito se atribuye principalmente a la combinación rara vez vista de varias características:

  • Técnicas novedosas no detectadas por ningún otro proveedor de AV
  • En la campaña se utilizaron alrededor de 470 aplicaciones de scamware
  • Uso de proxies como URL de primera etapa
  • La geolocalización de los usuarios basada en IP se utiliza para identificar a las posibles víctimas.
  • Investigación de los usuarios de la aplicación para identificar posibles víctimas
  • Usar una arquitectura sofisticada para ofuscar la verdadera intención

Producir una gran cantidad de aplicaciones maliciosas y enviarlas a las tiendas de aplicaciones apunta a un esfuerzo extenso y concertado por parte de un grupo bien organizado. Estas aplicaciones no son solo clones entre sí o de otras aplicaciones, sino que se producen de forma única a un ritmo elevado para engañar a los conjuntos de herramientas de seguridad tradicionales y a las posibles víctimas.

El carácter común del código malicioso y el lugar al que se conectan las aplicaciones suele ser el único aspecto común entre los más de 470 aplicaciones. La evidencia también apunta a una inversión financiera significativa por parte de los actores maliciosos en la construcción y mantenimiento de la infraestructura para mantener esta estafa global operando a un ritmo tan alto.

Además de las más de 470 aplicaciones de Android, la distribución de las aplicaciones estuvo muy bien planificada, distribuyendo sus aplicaciones en múltiples y variadas categorías, ampliando la gama de posibles víctimas. Las propias aplicaciones también funcionaron como se anunciaba, aumentando la falsa sensación de confianza.

1684605193 51 El scamware movil con motivacion financiera supera los 100 millones
Figura 10: Las categorías de las aplicaciones según Google Play Store

Las víctimas de la estafa Dark Herring

La campaña es excepcionalmente versátil y se dirige a usuarios móviles de más de 70 países cambiando el idioma de la aplicación y mostrando el contenido de acuerdo con la dirección IP del usuario actual. Debido a la naturaleza de la Facturación directa del operador, es posible que algunos países hayan sido seleccionados con menos éxito que otros debido a las protecciones al consumidor establecidas por las empresas de telecomunicaciones. Según la información recopilada, el equipo de Zimperium zLabs estima que Dark Herring ha intentado infectar más de 105 millones de dispositivos desde marzo de 2020. En el siguiente mapa, se han identificado 70 países con víctimas específicas. En el mapa a continuación, las naciones resaltadas en rojo tienen los riesgos más altos para las víctimas debido a la falta de protección del consumidor contra este tipo de estafas de facturación directa del operador.

1684605194 462 El scamware movil con motivacion financiera supera los 100 millones
Figura 11: Mapa de calor de las más de 105 millones de víctimas potenciales repartidas en más de 70 países

Estafa para Android Zimperium vs. Dark Herring

Los clientes de Zimperium zips están protegidos contra Dark Herring Scamware a través de la detección de malware en el dispositivo, las capas antiphishing y el motor de aprendizaje automático con la solución completa de defensa contra amenazas móviles de Zimperium. Alimentado por el dispositivo Defensa contra amenazas móviles z9 motor de aprendizaje automático, los clientes pueden permanecer seguros frente a esta familia de estafas.

Los clasificadores de phishing en el dispositivo de Zimperium detectan el tráfico de los dominios maliciosos con nuestra tecnología basada en aprendizaje automático, bloqueando todo el tráfico y evitando que los atacantes redirijan a una víctima potencial a un sitio de phishing específico.

Todas las aplicaciones comprometidas y maliciosas encontradas también se revisaron utilizando la plataforma de análisis de aplicaciones de Zimperium, z3A. Las aplicaciones devolvieron informes de altos riesgos de seguridad y privacidad para el usuario final. Los administradores de Zimperium pueden crear políticas de riesgo que impidan que los usuarios instalen aplicaciones de alto riesgo como Dark Herring.

Para asegurarse de que sus usuarios de Android estén protegidos contra Dark Herring Scamware, le recomendamos un evaluación rápida de riesgos. Cualquier aplicación con Dark Herring se marcará como una «amenaza de aplicación sospechosa» en el dispositivo y en zConsole. Los administradores también pueden revisar qué aplicaciones se cargan localmente en el dispositivo que podrían estar aumentando la superficie de ataque y poniendo en riesgo los datos y los usuarios.

Indicadores de compromiso:

Los IOC se pueden encontrar en el siguiente repositorio de Github: https://github.com/Zimperium/DarkHerring

Acerca de Zimperium

Zimperium proporciona la única plataforma de seguridad móvil especialmente diseñada para entornos empresariales. Con una protección basada en el aprendizaje automático y una única plataforma que asegura todo, desde las aplicaciones hasta los terminales, Zimperium es la única solución que brinda defensa contra amenazas móviles en el dispositivo para proteger entornos móviles en crecimiento y evolución. Para obtener más información o para programar una demostración, contáctenos hoy.

La investigacion de IDC valida que los terminales moviles estan

Relacionado:

Seminario web Amenazas de seguridad movil dirigidas a la industria Seminario web: Amenazas de seguridad móvil dirigidas a la industria financiera Default ThumbnailRegulador irlandés multa a Facebook con 276 millones de dólares Millones robados de bancos de EE UU y la UE Millones robados de bancos de EE. UU. y la UE podrían haberse evitado Escalas de Zimperium en miles de millones Escalas de Zimperium en miles de millones Rompiendo el ruido Warburg Pincus lidera la ronda de 25 Rompiendo el ruido: Warburg Pincus lidera la ronda de $25 millones Default ThumbnailZimperium recauda $ 12 millones en fondos de serie B liderados por Telstra

Deja un comentario