Los investigadores de Bitdefender utilizaron una aplicación recientemente anunciada de la industria tecnología de detección de anomalías incorporado en Seguridad Móvil Bitdefender para descubrir una campaña de malware oculto que vive sin ser detectado en dispositivos móviles en todo el mundo durante más de seis meses.
Los investigadores de Bitdefender creen que este malware móvil ha estado prosperando sin ser molestado durante un período prolongado de tiempo en ausencia de capacidades de detección basadas en el comportamiento en Android.
Amenaza Desconocida a Escala Global
Tras el análisis, la campaña está diseñada para impulsar agresivamente el adware a los dispositivos Android con el propósito de generar ingresos. Sin embargo, los actores de amenazas involucrados pueden cambiar fácilmente las tácticas para redirigir a los usuarios a otros tipos de malware, como troyanos bancarios para robar credenciales e información financiera o ransomware. Hasta la fecha, Bitdefender ha descubierto 60,000 muestras completamente diferentes (aplicaciones únicas) que llevan el adware y sospechamos que hay mucho más en la naturaleza.
El malware ha estado en vivo desde al menos octubre de 2022 y es notable porque sin la nueva tecnología de anomalías de aplicaciones – lo más probable es que hubiera podido permanecer sin ser detectado. Debido al alto número de muestras únicas descubiertas, la operación es muy probablemente totalmente automatizada.
La distribución en todo el mundo es aún más impresionante dado que no está en ninguna tienda oficial. Sin embargo, los operadores del malware aún necesitan persuadir a los usuarios para que descarguen e instalen aplicaciones de terceros, por lo que han disfrazado su amenaza con artículos muy buscados que no puede encontrar en las tiendas oficiales, incluso si fueran legítimos. En otras situaciones, las aplicaciones simplemente imitaban las reales publicadas en Play Store.
Estos son algunos de los tipos de aplicaciones imitadas por el malware:
- • Grietas de juego
- • Juegos con características desbloqueadas
- • VPN Gratis
- • Videos falsos
- • Netflix
- • Tutoriales falsos
- • YouTube/TikTok sin anuncios
- • Programas de utilidad agrietados: clima, espectadores de pdf, etc
- • Programas de seguridad falsos
La distribución es orgánica, ya que el malware aparece al buscar este tipo de apps, mods, cracks, etc. De hecho, las aplicaciones modificadas son un producto caliente, con sitios web dedicados por completo a ofrecer este tipo de paquetes. Por lo general, las aplicaciones modificadas son aplicaciones originales modificadas con su funcionalidad completa desbloqueada o con cambios en la programación inicial.
Por ejemplo, cuando el usuario abre un sitio web desde una búsqueda en Google de una aplicación “moded”, sería redirigido a una página de anuncios aleatorios. A veces, esa página es una página de descarga de malware disfrazada de una descarga legítima para el mod que el usuario estaba buscando.
Como ejemplo, tome el siguiente caso:
- • A las 09:43:31, el usuario accedió a hXXp://modsofapk[.]com/appcoins-wallet-mod-apk/download1/
- • ¿Inmediatamente después, a las 09:43:32 fue redirigido a hXXp://1yesterdayx[.]com/worjt1e6a5efdf4388a30895ddce35539e28e199d821e?q=appcoins%20wallet%20mod%20apk%20v2.9.0.0%20(free%20comprado/premium%20cracked), un sitio web destinado a servir el malware
Las aplicaciones ocultas de Android están entrando en una nueva era
Desde API 30, Google eliminó la capacidad de ocultar el icono de la aplicación en Android una vez que se registra un lanzador. Sin embargo, esto solo se aplica si registra un lanzador en primer lugar. Para eludir esto, la aplicación no registra ningún lanzador y depende del usuario y del comportamiento predeterminado de instalación de Android para ejecutarse por primera vez. Al instalar una aplicación descargada, la última pantalla en el procedimiento será una aplicación "Open".
Esto es todo lo que el malware necesita para garantizar que no se elimine. Comienza mostrando un mensaje de "la aplicación no está disponible" para engañar al usuario para que piense que nunca se instaló.
El hecho de que no tenga ningún icono en el lanzador y un carácter UTF-8 en la etiqueta hace que sea más difícil de detectar y desinstalar. Siempre estará al final de la lista, lo que significa que es menos probable que el usuario la encuentre.
El resultado es similar a lo que se muestra en la última entrada en la lista de aplicaciones instaladas.
De hecho, podemos echar un vistazo más de cerca al código donde se encuentra el mensaje: "La aplicación no está disponible en su región desde donde sirve la aplicación. Toque OK para desinstalar" se genera.
Aquí es donde entra en juego la parte más interesante. La aplicación duerme dos horas y registra dos acciones a las que se llamará en el arranque o cuando el usuario comience a interactuar con el dispositivo desbloqueando el teléfono. La segunda acción está deshabilitada durante los primeros días.
Luego, cada dos horas después de eso, se activa la alarma, se realiza una solicitud al servidor y se registra otra alarma. El servidor puede elegir inicializar la fase de adware en un intervalo de tiempo desconocido.
El Packer también es especial.
Este malware viene con un empacador eficiente que utiliza el paquete SQLcipher para descargar su contenido malicioso. Por defecto, una base de datos SQLite estándar no está encriptada. Por lo tanto, si alguien abre la base de datos con un editor de texto, su contenido es directamente visible para el lector.
El paquete SQLCipher cifra todos los datos almacenados. El malware almacena sus archivos dex como entradas en una base de datos cifrada; cuando es necesario, una simple consulta los devuelve. La clave utilizada para acceder a la base de datos parece ser el código hash del certificado.
La siguiente función carga el archivo de base de datos desde activos. La variable resaltada contiene el nombre del archivo de base de datos.
Podemos observar cómo se usa este mango:
Después de esta consulta anterior, obtenemos todas las entradas de la base de datos que contienen contenido malicioso. El siguiente fragmento de código es sencillo. Se itera a través del cursor, intenta crear un archivo para cada entrada, escribe algunos bytes en ese archivo (bytes de la entrada, lo que significa que cada entrada tiene sus propios bytes), y carga el archivo como una clase.
Cargando el archivo como un dex:
La siguiente secuencia es responsable de escribir los bytes desde una entrada al disco:
Comportamiento de adware
Cuando el usuario desbloquea el teléfono, la aplicación obtiene una URL de adware del servidor y utiliza el navegador móvil para cargar el anuncio. Debido a que se utiliza el navegador del teléfono, la función Seguridad Web en Bitdefender Mobile Security puede capturar el enlace antes de cargarlo.
Mostrar un anuncio de pantalla completa es otra función crucial de este adware. La aplicación utiliza una de las bibliotecas de adware incluidas para representar una WebView de pantalla completa de un anuncio. Implementamos la tecnología de detección de anomalías de aplicaciones en Bitdefender Mobile Security específicamente para detectar acciones maliciosas como esta.
El malware utiliza el mismo sistema basado en alertas que ya describimos para recibir uno de los siguientes comandos:
Como puede ver, está listo para servir enlaces, notificaciones, videos de pantalla completa, pestañas abiertas en navegadores y más. También armamos un breve video para mostrar este malware en acción.
Durante nuestro monitoreo, notamos que la aplicación cargaba anuncios de los siguientes dominios (los dominios no están necesariamente relacionados con malware):
- • Konkfan[.]com
- • beahor[.]com
- • gogomeza[.]com
- • kenudo.en
- • ehojam[.]com
- • adc-ad-assets.adtilt[.]com
- • adc3-launch.adcolony[.]com
- • adservice.google[]com
- • subasta-load.unityads.unity3d[.]com
- • config.unityads.unity3d[.]com
- • googleads.g.doubleclick.net
- • httpkafka.unityads.unity3d[.]com
- • pagead2.googlesindicación[.]com
- • editor-config.unityads.unity3d[.]com
- • wd.adcolony[.]com
- • Muchos más…
COI
Todo el malware en esta campaña anteriormente oculta ahora es detectado automáticamente por Bitdefender Mobile Security en la instalación como Android.Riskware.HiddenAds.LL. Estos son solo algunos de los hash para los paquetes de adware que encontramos.
- • 53f3fbd3a816f556330d7a17bf27cd0d com.contec.aflwallpapers4k
- • a8b18a67256618cf9dcd433a04448a5b com.deadsimpleapps.all
- • 53406cc4b3ced24152860a7984d96dbf com.devindie.appfacil
- • c1d312818d07cddb76d2bece7ad43908 libro.com.ram.app
- • 4df8c05d0e323c5aeeb18c61e3c782c6 com.alamincarectg.app
- • d6e33f7b6ff314e2b61f54434a77e8f0 pegatinas.russia2018
- • 8ec0432424da16eb8053453f0ce0731a net.playtouch.connectanimalsok
- • db9f921ccecdef6cd8fb7f5cb0a779d2 com.advfn. Android.ihubmóvil
- • 1313fa114436229856797384230a0a73 com.deadsimpleapps.all
- • 3050f562374b275f843f6eb892d2f298 edu.cpcc.go
- • 400568ea7406f4d3704fb4c02682313a com.ik.class3pdf
- • 7a1efcc701f10d2eef08a4f4bcf16fc2 ir.amin.rostami
- • 84aed79a10dd21e0996e08ba0c206965 com.alamincarectg.app
- • 4376ecd8add3622c2793239f658aa5e6 com.fhuchudev.apyarcardownload
- • 8fcc39166b1a8c29fba3f87307967718 book.com.ram.app
- • b7fb1fa1738c5048cecbe73086823843 com.kacyano.megasena
- • fd37ff8ded80e9fe07004e201422a129 com.ikeyboard.theme.tiedye.neon.weed
- • ef83a9b6ffe20b3abdba08a6517b08f0 studio.harpreet.autorefreshanywebsite
- • 319421d550ff761aa4ac2639b3985377 com.mdpabhel.autowebpagereloader2022
- • 7e3fa8b054346c013a8148d76be81a48 uz.pdp.ussds11
- • 60bae94bfa0c79c19fcc19bc5a9fb8e6 com.alamincarectg.app
Corriendo un solución de seguridad eso detecta estas amenazas es la mejor manera de mantener su dispositivo seguro. Por supuesto, definitivamente no se recomienda descargar aplicaciones de tiendas de aplicaciones y sitios web de terceros.