Troyano de Android encontrado

0

En el pasado reciente, hemos observado ataques dirigidos contra activistas uygures y tibetanos que empleaban plataformas Windows y Mac OS X, ambos documentados en nuestra web, cuyas herramientas de propagación consistían en archivos ZIP además de DOC, XLS y documentos en PDF plagados de agujeros de seguridad.

Hace algunos días, la cuenta de correo electrónico de un activista tibetano relevante ha sido hackeada y usada para enviar ataques dirigidos contra el resto de compañeros activistas y otros defensores de los derechos humanos. Pero esto no es nada nuevo, lo que llama la atención aquí es que los emails empleados para atacar llevan adjunto un .APK -o paquete instalador- de Android.

El ataque

El día 24 de Marzo de 2013, la cuenta de correo de un activista tibetano importante fue vulnerada y está siendo empleada para dirigir ataques tipo “spear phishing” contra su lista de contactos. El aspecto que presenta este ataque de phishing es el siguiente: 

En relación a la captura superior, debemos explicar que muchos grupos de activistas han organizado recientemente una conferencia de derechos humanos en Génova. Hemos visto como han aumentado los ataques que perseguían engañar al usuario con este supuesto. A continuación otro ejemplo de este tipo de ataque sobre usuarios de Windows:

Volviendo al paquete de Android (APK) que viene adjunto al email, lo que este presenta es una aplicación llamada “WUC´s Conference.apk“.

El paquete malicioso tiene un tamaño de 334326 bytes, cuyo MD5 es: 0b8806b38b52bebfe39ff585639e2ea2 y es detectado por el producto antivirus de Kaspersky como “Backdoor.AndroidOS.Chuli.a”

Después de la instalación, una aplicación llamada “Conference” (conferencia) aparece en el escritorio.

Si la víctima arranca la aplicación, verá la información que esta desvela sobre el inminente evento: 

A continuación el texto completo contenido en la aplicación. Nótese un error llamativo en dicho texto, ya que se confunde la palabra “Word” con “World”:

“On behalf of all at the Word Uyghur Congress (WUC), the Unrepresented Nations and Peoples Organization (UNPO) and the Society for Threatened Peoples (STP), Human Rights in China: Implications for East Turkestan, Tibet and Southern Mongolia

In what was an unprecedented coming-together of leading Uyghur, Mongolian, Tibetan and Chinese activists, as well as other leading international experts, we were greatly humbled by the great enthusiasm, contribution and desire from all in attendance to make this occasion something meaningful, the outcome of which produced some concrete, action-orientated solutions to our shared grievances. We are especially delighted about the platform and programme of work established in the declaration of the conference, upon which we sincerely hope will be built a strong and resolute working relationship on our shared goals for the future. With this in mind,we thoroughly look forward to working with you on these matters.

Dolkun lsa

Chairman of the Executive Committee

Word Uyghur Congress”


Mientras la víctima lee el mensaje falso, el malware contenido ya está informando de la infección a su centro de “comando y control” o C2. Después, este empieza a recopilar información del dispositivo, lo que incluye:

  • Contactos (tanto los de la tarjeta SIM como los del teléfono)
  • Registro de llamadas.
  • Mensajes SMS
  • Geo-localización
  • Datos del teléfono (número, versión de Sistema Operativo, modelo, versión SDK)

Es importante señalar que estos datos no serán enviados al servidor C2 automáticamente. El troyano espera a que entre un SMS (“alarmReceiver.class”) y comprueba si estos mensajes contienen uno de los siguiente parámetros: “sms”, “contacto”, “lugar”, “otro”. Si se encuentra uno de estos comandos, el malware codificará los datos robados con “Base64” y los enviará al servidor de comando y control. La url de este C2 es:

hxxp://64.78.161.133/*victims’s_cell_phone_number*/process.php

Además de esto, el malware enviará otro script, “hxxp://64.78.161.33/android.php“. Primero conseguirá la variable “número nativo” del valor “telmark” situado en “AndroidManifest.xml”. Esto es igual al número de teléfono. Después, añade el resultado al método publico “localDate.getTime()”, que simplemente añade la fecha y hora actuales. Un ejemplo de cadena resultante es “teléfono 26.03.2013”.

Resulta interesante que los atacantes empleen la librería Java Base 64 desarrollada por Sauron Software. Es un software gratuito y libre distribuído bajo licencia LGPL.

También se aprecia que, en las comunicaciones entre el centro de control y el malware, se incluye la función denominada “chuli()” antes de transmitir los datos robados al servidor. Parece ser que los atacantes están de alguna forma familiarizados con el lenguaje y la cultura de montaña-escalada de los objetivos -la palabra chuli significa “cumbre” o “cima”. 

El código fuente descompilado nos permite ver claramente cuales son los parámetros usados por el centro de Comando-control:

El centro de Comando y Control

El servidor que ejerce estas funciones tiene asignada la IP 64.78.161.133. Esta IP está situada en Los Angeles, U.S.A. y alojada en una compañía de hosting llamada “Emagine Concept Inc”. 

Resulta interesante comprobar uno de los dominios que apuntan al servidor, “DlmDocumentsExchange.com“. El dominio fué registrado el día 8 de Marzo de 2013:

Registration Service Provided By: SHANGHAI MEICHENG TECHNOLOGY INFORMATION DEVELOPMENT CO., LTD.

Domain Name: DLMDOCUMENTSEXCHANGE.COM

Registration Date: 08-Mar-2013

Expiration Date: 08-Mar-2014

Status:LOCKED

The domain registration data indicates the following owner:

Registrant Contact Details:

peng jia

peng jia (bdoufwke123010@gmail.com)

beijingshiahiidienquc.d

beijingshi

beijing,100000

CN

Tel. +86.01078456689

Fax. +86.01078456689

El centro de comando y control también aloja en su página “index” o principal un archivo .APK: 

Si abrimos el centro de comando en una ventana del explorador de internet, muestra el siguiente aspecto: 

El servidor que ejerce de Centro de control está basado en Windows Server 2003 y ha sido configurado para lenguaje Chino: 

Conclusiones

Cada día aparecen cientos (sino miles) de ataques dirigidos contra simpatizantes de la causa tibetana o Uygur. La gran mayoría de los ataques persiguen máquinas Windows a através de exploits para documentos Word basándose en las vulnerabilidades conocidas como CVE-2012-0158, CVE-2010-3333 y CVE-2009-3129.

Resulta bastante probable que los atacantes sean chinos, ya que es el lenguaje bajo el que funciona su servidor de control.

Por ahora la mejor opción es no abrir paquetes .APK que lleguen a dispositivos Android vía e-mail. El malware es detectado como Backdoor.AndroidOS.Chuli.a” por Kaspersky antivirus.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR