Español | English
rss facebook linkedin Twitter

Detectada una nueva variante de ransomware móvil


Es de sobra conocida la tendencia en malware que ha causado más problemas en lo que va de año: Ransomware (Cryptowall, Cryptolocker y sus variantes, por nombrar algunos).

Aunque ya se había visto alguna muestra de ransomware (Koler),  en el entorno móvil, no era común encontrar Spam tradicional con estas aplicaciones maliciosas hasta ahora.

Hace unos días recibimos un e-mail supuestamente genérico de Spam en el que se adjuntaba un archivo adjunto de dudoso nombre “Check Updates.apk” que en principio se hacía pasar por una actualización de Flash Player.

Un primer vistazo rápido a la aplicación ya indica que, desde luego, dista mucho de ser una actualización válida de nada, como se puede comprobar simplemente revisando las imágenes y documentos HTML que están integrados.






Dichos documentos, que serán presentados al usuario como parte del proceso de “scam” siguen el esquema común. En este caso, es el FBI el que ha detectado (mediante la plataforma PRISM) que el usuario ha visitado páginas prohibidas y debe pagar una multa.

A continuación se presenta un extracto del texto:
 


La instalación de la aplicación tampoco reviste más problemas y tras abrir la aplicación se mostrará brevemente un reproductor de videos (naturalmente falso).




Tras unos segundos, se lanzará la ventana de la supuesta infracción, que quedará fija, impidiendo al usuario acceder al resto de aplicaciones o cerrarla.

Este mensaje, a diferencia del que mostraba Koler, no se modifica dependiendo de la zona geográfica, sino que es el mismo siempre. Aquí tenéis algunas capturas:




Una vez bloqueado el dispositivo y solicitado el pago de la “multa”.

Para proceder al pago de la multa, se solicita comprar y cargar con 500$  una tarjeta de pago PayPal MyCash para posteriormente entregar el código de la misma al botmaster usando el panel de la aplicación maliciosa (como puede verse en la captura anterior). Una vez hecho esto la aplicación promete  desbloquear el dispositivo y el descifrar los datos del usuario.

Detalles técnicos

La aplicación no presenta muchas novedades a nivel de desarrollo, ni componentes, ni técnicas. Requiere un elevado número de permisos y usa las características de la plataforma como una aplicación normal (no implementa “exploits” o requiere privilegios de superusuario). Podríamos destacar lo siguiente:

  • La ventana de la supuesta denuncia al usuario se genera como una alerta de sistema, que se muestra por “encima” del resto de ventanas de la aplicación.
  • El sistema de cifrado es AES y  usa la librería criptográfica estándar. La clave de cifrado siempre es la misma, así como el Salt para su creación (PBKDF2WithHmacSHA1)

    A pesar de que el código de cifrado y descifrado esta completo, no se ha detectado en las pruebas que la aplicación maliciosa realmente cifre el contenido del almacenamiento externo (objetivo /sdcard/Android/).
  • La aplicación hace uso de una librería de terceros (Volley) para la gestión de conexiones.
  • Para amedrentar al usuario se muestran ciertas características personales en el mensaje, como son: IP del dispositivo, lista de enlaces favoritos del navegador, fotografía del usuario (con cámara frontal) e información de geolocalización basada en la IP.
  • Las principales funcionalidades son
    • Reenvío de SMS almacenados y contactos al servidor malicioso
    • Captura de los SMS entrantes
    • Envío de SMS a través del dispositivo
    • Cifrado y descifrado de la tarjeta de almacenamiento externa
    • Bloqueo y desbloqueo del dispositivo
  • Además,  el servidor entrega al bot un “SMS template” que será usado para enviar un SMS con la URL del APK a todos los contactos del usuario (esto ya se observó en versiones recientes de Koler)


Panel de control

La URL del panel de control se encuentra “hardcodeada” en el propio código del bot. Una vez resuelta la URL se consultará periódicamente al servidor por nuevos comandos (se usará comunicación estándar http y respuestas JSON):

GET /pha?android_version=4.1.2&id=xxxxxxxxxx&phone_number=xxxxxxxxx&client_version=1.03&imei=xxxxxxxxxxxxxxxx&name=sdk

Durante el registro del bot, se recibirá también un mensaje de “template” de SMS  así como información  de geolocalización (comentados anteriormente)

{"sms_template": "OMG!!! Guess who's on a video here, you will not believe it!!!  hxxp://xxxxxx.com/video.apk"}

{"city": "Madrid", "ip": "82.xxx.xxx.xxx", "lon": yy.yyy, "lat": zz.zzz, "country_code": "ES", "country_name": "Spain"}

El servidor también implementa un acceso para la consulta y control de los bots.
También se ha encontrado alojado en el mismo una página falsa de descarga de la aplicación.


Conclusiones y mitigación

El “boom” de los ransomware empieza a encontrar distintas formas de distribución, y a pesar de ser aplicaciones sencillas y poco avanzadas, cumplen su función de “extorsionar” al usuario. Los métodos aún son muy orientados a la ingeniería social, pero se van añadiendo funciones adicionales (robo de SMS, propagación, etc.)

Para mitigar sus efectos, se recomienda mantener desactivada la opción de instalación de fuentes desde orígenes desconocidos de Android y filtrar en los servidores de correo los archivos adjuntos con extensión “.apk”.

Si la aplicación maliciosa se ha instalado, siempre se puede proceder a su limpieza usando “adb uninstall” (requiere depuración USB activa) o reiniciando el sistema en modo seguro, para posteriormente desinstalarla normalmente.

S21sec ecrime

PD: El MD5 analizado es el siguiente: f836f5c6267f13bf9f6109a6b8d79175

2 comentarios:

Anónimo dijo...

Se puede descargar ;)
https://koodous.com/apk/d721a38e55441e3273754fa642f2744567dc786df356e89fa0bfa3cfd63ad0ed

Anónimo dijo...

felicidades, un excelente post!


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login