Los investigadores que analizaron un nuevo grupo de aplicaciones maliciosas de Android descubrieron que contenían una nueva versión del SDK de Tushu, que se vio infectando aplicaciones en Google Engage in a principios de este año. El SDK Twoshu, como lo han denominado este lookalike, fue construido con nuevas técnicas evasivas.
El fraude publicitario asociado principalmente con el Package de desarrollo de software package de Tushu se vio por primera vez en Nuts Brainstorming, una aplicación de juegos de Android disponible en Google Perform de enero a marzo de 2019. Durante esos meses, se descargó más de un millón de veces, principalmente en los Estados Unidos , dicen los investigadores del equipo de inteligencia de amenazas de White Ops que lo encontraron.
Las cadenas en el código de la aplicación indicaron que el SDK fue desarrollado por 1tu1shu (.) Com, una empresa con sede en China que se autodescribe como una empresa de «advertising and marketing inteligente basado en datos». El análisis mostró otras 71 aplicaciones con este SDK implementado en su base de código. Todas las extensiones y aplicaciones observadas durante su análisis condujeron a dominios sospechosos caracterizados como repositorios de malware.
«Definitivamente hubo muchas cosas muy sospechosas con este SDK en specific», dice John Laycock, analista de amenazas del Equipo de Inteligencia de Amenazas de White Ops.
El SDK de Tushu tenía algunas características definitorias. Podría mostrar anuncios de pantalla completa fuera del contexto de la aplicación, lo que significa que los anuncios podrían aparecer incluso si la aplicación no se ejecuta en primer plano. Esto permitió a los atacantes monetizar anuncios mientras el usuario intentaba interactuar con otras aplicaciones. El SDK también era capaz de entregar anuncios cuando la pantalla estaba bloqueada. Los anuncios pueden ser activados por cambios en la crimson, como conectarse o desconectarse a Wi-Fi, o enchufar un dispositivo para cargar.
Hubo algunas banderas rojas que alertaron al equipo de White Ops de actividad maliciosa, dice Laycock. Explica que su alto número de descargas fue «significativo y algo inusual para una sola aplicación», especialmente porque period la única aplicación de un desarrollador con el nombre de Linda Wang, que se suponía que period una persona aleatoria. La aplicación en sí no estaba bien hecha, agrega, y varios comentarios de los usuarios se quejaron de procesos lentos y demasiados anuncios. Investigadores publicado su análisis, y Nuts Brainstorming fue eliminado.
Aproximadamente seis meses después, el mismo equipo investigó seis aplicaciones de HiddenAd compartidas por ESET Investigate. Las aplicaciones se publicaron en Google Participate in a mediados de agosto y se retiraron en septiembre. El análisis reveló un código identical al Tushu original con ofuscación y tácticas anti-análisis. El aumento en la sofisticación mostró que los investigadores habían interrumpido el flujo de efectivo de los atacantes Como resultado, vieron la necesidad de mejorar sus tácticas antes de volver al espacio de fraude publicitario.
El SDK «Twoshu» con aspecto comparable contiene ofuscación XOR de un solo byte, dice Laycock, mientras que el Tushu initial period noticeable en texto sin formato. La intención es ralentizar el análisis, explican los investigadores. «En lugar de almacenar cadenas importantes en texto claro dentro del archivo dex, hay una llamada a una función de decodificador con uno de los muchos conjuntos de bytes asignados estáticamente», según un equipo de White Ops entrada en el blog.
«Lo que estamos viendo en este momento con muchos de los paquetes de Android es que los diferentes actores están tratando de aumentar su sofisticación», dice Laycock. Solía ser fácil abrir una aplicación y mirar el código en texto sin formato ahora los atacantes están mejorando su juego. «Habían reempaquetado todo y básicamente lo hicieron muy difícil de leer», dice sobre los desarrolladores de Tushu.
Para el anti-análisis, Twoshu contiene código de un proyecto de código abierto chino denominado EasyProtector, que determina si el dispositivo es un emulador. Los investigadores informan que el código enumera todos los paquetes instalados en un sistema y los compara con una lista interna de herramientas antivirus. También verifica si un dispositivo de destino está conectado a identificadores de conjuntos de servicios antivirus (SSID) conocidos.
El código no se ejecutará en un dispositivo con menos de 10 aplicaciones instaladas, o con más de tres aplicaciones que tengan «.examination». en su nombre de paquete porque supone que es un sistema de análisis.
«Es un juego de gato y ratón realmente divertido», dice Laycock. Al igual que el SDK authentic de Tushu, Twoshu recopila una cantidad «impresionante» de datos, incluidas las coordenadas GPS, SSID de Wi-Fi y la Identidad internacional de equipo móvil (IMEI) de cada dispositivo. White Ops planea continuar monitoreando este SDK para intentos continuos de evadir la detección.
Contenido relacionado:
Kelly Sheridan es la Editora de private de Darkish Examining, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance coverage & Technology, donde cubrió asuntos financieros … Ver biografía completa
Más tips
