Nuevo malware avanzado de Android que se hace pasar por «Actualización del sistema»

Otra semana y otro gran riesgo de seguridad móvil. Hace unas semanas, los investigadores de Zimperium zLabs revelaron configuraciones de nube no seguras que exponen información en miles de aplicaciones legítimas de iOS y Android (puede leer más sobre esto en nuestro Blog). Esta semana, zLabs advierte a los usuarios de Android sobre una nueva y sofisticada aplicación maliciosa.

El nuevo malware se disfraza como una aplicación de actualización del sistema y roba datos, mensajes, imágenes y toma el control de los teléfonos Android. Una vez que tienen el control, los piratas informáticos pueden grabar audio y llamadas telefónicas, tomar fotos, revisar el historial del navegador, acceder a los mensajes de WhatsApp y más (a continuación se incluye una lista completa).

Los investigadores de zLabs identificaron la aplicación «Actualización del sistema» y notaron que el motor de malware z9 detectaba una aplicación de Android. Detección de cremalleras en el dispositivo. Tras una investigación, descubrimos que se trataba de una sofisticada campaña de spyware con capacidades complejas. También confirmamos con Google que la aplicación no estaba y nunca ha estado en Google Play.

En este blog, haremos lo siguiente:

• Cubrir las capacidades del spyware;
• Discutir las técnicas utilizadas para recopilar y almacenar datos; y
• Muestre la comunicación con el servidor C&C para exfiltrar los datos robados.

¿Qué puede hacer el malware?

La aplicación móvil representa una amenaza para los dispositivos Android al funcionar como un troyano de acceso remoto (RAT) que recibe y ejecuta comandos para recopilar y filtrar una amplia gama de datos y realizar una amplia gama de acciones maliciosas, como:

• Robar mensajes de mensajería instantánea;
• Robar archivos de bases de datos de mensajería instantánea (si la raíz está disponible);
• Inspeccionar los marcadores y búsquedas predeterminados del navegador;
• Inspeccionar el marcador y el historial de búsqueda de Google Chrome, Mozilla Firefox y el navegador de Internet de Samsung;
• Buscar archivos con extensiones específicas (incluidos .pdf, .doc, .docx y .xls, .xlsx);
• Inspeccionar los datos del portapapeles;
• Inspeccionar el contenido de las notificaciones;
• Grabación de audio;
• Grabación de llamadas telefónicas;
• Tome fotografías periódicamente (ya sea a través de la cámara frontal o trasera);
• Listado de las aplicaciones instaladas;
• Robar imágenes y videos;
• Monitoreo de la ubicación GPS;
• Robo de mensajes SMS;
• Robo de contactos telefónicos;
• Robo de registros de llamadas;
• Extraer información del dispositivo (p. ej., aplicaciones instaladas, nombre del dispositivo, estadísticas de almacenamiento); y
• Ocultar su presencia ocultando el icono del cajón/menú del dispositivo.

¿Cómo funciona el malware?

Tras la instalación (de una tienda de terceros, no de Google Play Store), el dispositivo se registra con Firebase Command and Control (C&C) con detalles como la presencia o ausencia de WhatsApp, el porcentaje de batería, las estadísticas de almacenamiento, el token recibido del Servicio de mensajería de Firebase y el tipo de conexión a Internet.

Existen opciones para actualizar la información del dispositivo mencionado como «actualizar» y «refreshAllData», la diferencia es que, en «update», la información del dispositivo solo se recopila y se envía a C&C, mientras que en «refreshAllData», también se incluye un nuevo token de Firebase. generado y exfiltrado.

La funcionalidad del spyware y la exfiltración de datos se activan bajo múltiples condiciones, como la adición de un nuevo contacto, la recepción de un nuevo SMS o la instalación de una nueva aplicación mediante el uso de Android. contentObserver y receptores de difusión.

Los comandos recibidos a través del servicio de mensajería de Firebase inician acciones como la grabación de audio desde el micrófono y la filtración de datos como mensajes SMS. La comunicación de Firebase solo se usa para emitir los comandos, y un servidor C&C dedicado se usa para recopilar los datos robados mediante una solicitud POST.

El spyware busca cualquier actividad de interés, como una llamada telefónica, para grabar inmediatamente la conversación, recopilar el registro de llamadas actualizado y luego cargar el contenido en el servidor C&C como un archivo ZIP cifrado. Decidido a no dejar rastros de sus acciones maliciosas, el software espía elimina los archivos tan pronto como recibe una respuesta de «éxito» del servidor C&C al recibir con éxito los archivos cargados.

Los datos recopilados se organizan en varias carpetas dentro del almacenamiento privado del spyware, ubicado en: “/data/data/com.update.system.important/files/files/system/FOLDER_NAME” donde se especifica “FOLDER_NAME” como se muestra en la siguiente imagen.

Junto con el comando “re” para grabar el audio del micrófono, los parámetros recibidos son “from_time” y “to_time”, que se utiliza para programar un Solicitud de trabajo única trabajo para realizar la actividad maliciosa prevista. Tal uso de la programación de trabajos puede verse afectado por las optimizaciones de batería aplicadas en las aplicaciones por el sistema operativo Android, por lo que el software espía solicita permiso para ignorar las optimizaciones de batería y funcionar sin obstáculos.

Al estar muy preocupado por la frescura de los datos, el software espía no utiliza los datos recopilados antes de un período determinado.

Por ejemplo, los datos de ubicación se recopilan del GPS o de la red (lo que sea más reciente) y si este valor más reciente tiene más de 5 minutos, decide recopilar y almacenar los datos de ubicación nuevamente. Lo mismo se aplica a las fotos tomadas con la cámara del dispositivo, y el valor se establece en 40 minutos.

El spyware abusa de los Servicios de accesibilidad del dispositivo (obtenidos de la ingeniería social al pedir a los usuarios que habiliten los servicios de accesibilidad) para recopilar conversaciones y detalles de mensajes de WhatsApp raspando el contenido en la pantalla después de detectar que el nombre del paquete de la ventana superior coincide con WhatsApp («com. whatsapp”). Los datos recopilados se almacenan dentro de una base de datos SQLite con un modelo, como se ve en las imágenes a continuación.

Además de recopilar los mensajes mediante los Servicios de accesibilidad, si el acceso raíz está disponible, el spyware roba los archivos de la base de datos de WhatsApp copiándolos del almacenamiento privado de WhatsApp.

El spyware roba activamente los datos del portapapeles al registrar a los oyentes del portapapeles de la misma manera que espía los SMS, la ubicación del GPS, los contactos, los registros de llamadas y las notificaciones. Los oyentes, los observadores y las intenciones transmitidas se utilizan para desencadenar acciones como grabar una llamada telefónica y recopilar las miniaturas de imágenes/videos recién capturados por la víctima.

Se busca en el almacenamiento del dispositivo Android archivos de menos de 30 MB y que tengan extensiones de archivo de la lista de tipos «interesantes» (.pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx) para copiarlos en el directorio privado de la aplicación y encriptado como una carpeta antes de la exfiltración al servidor C&C.

Una capacidad agresiva del software espía es acceder y robar los contenidos almacenados en caché y almacenados en el almacenamiento externo. En un intento por no filtrar todas las imágenes/videos, que normalmente pueden ser bastante grandes, el spyware roba las miniaturas que son mucho más pequeñas. Esto también reduciría significativamente el consumo de ancho de banda y evitaría mostrar cualquier signo de exfiltración de datos a través de Internet (ayudando a evadir la detección). Cuando la víctima usa Wi-Fi, todos los datos robados de todas las carpetas se envían a C&C, mientras que cuando la víctima usa una conexión de datos móviles, solo se envía un conjunto específico de datos a C&C, como se ve en la Figura 12. .

Aparte de los diversos tipos de datos personales robados a la víctima, el software espía quiere más datos privados, como los marcadores de la víctima y el historial de búsqueda de navegadores populares como Google Chrome, Mozilla Firefox y el navegador de Internet de Samsung.

Para identificar el nombre del dispositivo de la víctima, el spyware intenta comparar la información recopilada del dispositivo «Build.DEVICE» y «Build.MODEL» con una lista de valores codificados que ascienden a un total de 112 nombres de dispositivos, como se ve a continuación.

El software espía crea una notificación si la pantalla del dispositivo está apagada cuando recibe un comando mediante el servicio de mensajería de Firebase, como se muestra en las siguientes imágenes. El «Buscando actualización..” no es una notificación legítima del sistema operativo, sino el spyware.

El software espía es capaz de realizar una amplia gama de actividades maliciosas para espiar a la víctima mientras se hace pasar por una aplicación de «Actualización del sistema». Exhibe una característica rara vez vista antes, robando miniaturas de videos e imágenes, además del uso de una combinación de Firebase y un servidor Command & Control dedicado para recibir comandos y filtrar datos.

COI

Aplicaciones de software espía:

96de80ed5ff6ac9faa1b3a2b0d67cee8259fda9f6ad79841c341b1c3087e4c92

6301e2673e7495ebdfd34fe51792e97c0ac01221a53219424973d851e7a2ac93

Servidores C&C:

hxxps://mypro-b3435.firebaseio.com

hxxps://licencias.website/backendNew/public/api/

Aprender más

Para obtener más información sobre cómo Zimperium detecta y evita que el malware interrumpa las empresas a nivel mundial, Contáctenos.

Zimperium CREMALLERAS, impulsado por el motor basado en aprendizaje automático de Zimperium, z9, detecta este malware. Además, Cremalleras con Samsung Knox permite capacidades de mitigación inmediatas y automatizadas.