Software espía Android relacionado con MoqHao dirigido a Japón y Corea encontrado en Google Play


El equipo de investigación móvil de McAfee ha encontrado un nuevo tipo de malware de Android para la campaña de phishing de MoqHao (a.k.a. XLoader y Mantis itinerante) dirigida a usuarios coreanos y japoneses. Una serie de campañas de ataque siguen activas, principalmente dirigidas a usuarios japoneses. El nuevo spyware tiene cargas útiles muy diferentes de las muestras existentes de MoqHao. Sin embargo, encontramos evidencia de una conexión entre el método de distribución utilizado para la campaña existente y este nuevo spyware. Todo el spyware que encontramos esta vez pretende ser aplicaciones de seguridad dirigidas a usuarios en Japón y Corea. Descubrimos una página de phishing relacionada con Ataque de secuestro de DNS, diseñado para engañar al usuario para que instale el nuevo spyware, distribuido en la tienda Google Play.

Aplicaciones de seguridad japonesas falsas distribuidas en Google Play

Encontramos dos aplicaciones de seguridad japonesas falsas. Los nombres de los paquetes son com.jshop.test y com.jptest.tools2019. Estos paquetes se distribuyeron en la tienda Google Play. El número de descargas de estas aplicaciones fue muy bajo. Afortunadamente, las aplicaciones de spyware se eliminaron inmediatamente de la tienda Google Play, por lo que adquirimos las balas maliciosas gracias al equipo de seguridad de Google Android.

Figura 1. Aplicaciones de seguridad falsas distribuidas en Google Play

Este spyware japonés tiene cuatro funciones de comando y control. A continuación se muestra la lista de comandos del servidor utilizada con este spyware. El spyware intenta recopilar información del dispositivo, como IMEI y número de teléfono, y robar mensajes SMS / MMS en el dispositivo. Estos comandos maliciosos se envían desde un servicio push de Tencent Push Notification Service.

Figura 2. Registro de comandos en mCommandReceiver

Tabla 1. Las listas de comandos

* 1No se implementó correctamente debido a la diferencia de la funcionalidad adivinada por el nombre del comando

Creemos que el cibercriminal incluyó funciones mínimas de software espía para evitar los controles de seguridad de Google para distribuir el software espía en la tienda Google Play, tal vez con la intención de agregar funcionalidades adicionales en futuras actualizaciones, una vez aprobado.

Aplicaciones falsas de la policía coreana

Después de una investigación más profunda, encontramos otras muestras muy similares a las aplicaciones de seguridad japonesas falsas anteriores, esta vez dirigidas a usuarios coreanos. Una aplicación falsa de la policía coreana se disfrazó como una aplicación anti-spyware. Se distribuyó con un nombre de archivo de cyber.apk en un servidor host en Taiwán (ese host se ha asociado previamente con dominios de phishing maliciosos que se hacen pasar por compañías japonesas famosas). Utilizaba el ícono oficial de la aplicación de la policía coreana y un nombre de paquete que contenía 'kpo', junto con referencias a com.kpo.scan y com.kpo.help, todos los cuales están relacionados con la policía coreana.

Figura 3. El icono de esta aplicación de policía coreana fue malversado

El paquete Trojanized fue ofuscado por el empaquetador Tencent para ocultar su carga maliciosa de spyware. A diferencia de las muestras existentes utilizadas en la campaña MoqHao, donde la dirección del servidor de C&C simplemente estaba incrustada en la aplicación de spyware; Las muestras de MoqHao ocultan y acceden a la dirección del servidor de control a través de cuentas de Twitter.

El malware tiene una funcionalidad de spyware muy similar a la falsa aplicación de seguridad japonesa. Sin embargo, este presenta muchos comandos adicionales en comparación con el japonés. Curiosamente, el servicio Tencent Push se utiliza para emitir comandos al usuario infectado.

Figura 4. Servicio Push de Tencent

El código y la tabla a continuación muestran las características del comando del servidor y la lista de contenido.

Figura 5. Registro de comandos en mCommandReceiver

Tabla 2. Las listas de comandos

* 1Parece estar en construcción debido a la diferencia de la funcionalidad adivinada por el nombre del comando

Hay varias funciones interesantes implementadas en este spyware. Para ejecutar una función de llamada telefónica automatizada en una aplicación de llamada predeterminada, la clase KAutoService tiene una implementación para verificar el contenido en la ventana activa y hacer clic automáticamente en el botón de inicio de llamada.

Figura 6. La clase KAutoSevice hace clic en el botón de inicio automáticamente en la aplicación de llamada activa

Otra función interesante intenta deshabilitar las aplicaciones de llamadas antispam (p. Ej. whowho – Identificador de llamada y bloqueo), que advierte a los usuarios si es sospechoso en el caso de llamadas entrantes de un número desconocido. La función de desactivación de estas aplicaciones de seguridad de llamadas en el software espía permite a los ciberdelincuentes hacer una llamada sin despertar sospechas, ya que no se emite ninguna alerta desde las aplicaciones de llamadas antispam, lo que aumenta el éxito de la ingeniería social.

Figura 7. Deshabilite las aplicaciones anti-spam-call

Figura 8. Deshabilite las aplicaciones anti-spam-call

Tabla 3. Lista de aplicaciones de llamadas antispam deshabilitadas

Conexión con campañas activas de MoqHao

Las características y estructuras de malware son muy diferentes de las muestras existentes de MoqHao. Agradecemos especialmente a @ZeroCERT y @ninoseki, sin quién no podríamos haber identificado la conexión con el ataque activo de MoqHao y las campañas de secuestro de DNS. El script del servidor en el sitio web de phishing que aloja la aplicación falsa de Chrome lleva a las víctimas a una aplicación de seguridad japonesa falsa en la tienda Google Play (https://play.google.com/store/apps/details?id=com.jptest.tools2019) bajo condiciones específicas del navegador.

Figura 9. El script del servidor redirige a los usuarios a una aplicación de seguridad falsa en Google Play (Fuente: @ninoseki)

Hay una fuerte correlación entre las aplicaciones falsas japonesas y coreanas que encontramos esta vez. Este malware tiene comandos espías comunes y comparte la misma clave de informe de bloqueo en un servicio en la nube. Por lo tanto, concluimos que ambas piezas de spyware están conectadas a las campañas en curso de MoqHao.

Conclusión

Creemos que el spyware tiene como objetivo hacerse pasar por una aplicación de seguridad y realizar actividades de espionaje, como rastrear la ubicación del dispositivo y espiar conversaciones de llamadas. Se distribuye a través de una tienda de aplicaciones oficial en la que confían muchos usuarios. La campaña de ataque aún está en curso, y ahora presenta un nuevo spyware para Android que ha sido creado por los ciberdelincuentes. McAfee está trabajando con las agencias policiales japonesas para ayudar con la eliminación de la campaña de ataque. Para proteger su privacidad y mantener sus datos de ataques cibernéticos, no instale aplicaciones fuera de las tiendas de aplicaciones oficiales. Mantenga el firmware actualizado en su dispositivo y asegúrese de protegerlo de aplicaciones maliciosas instalando un software de seguridad en él.

McAfee Mobile Security detecta esta amenaza como Android / SpyAgent y alerta a los usuarios móviles si está presente, al tiempo que los protege de cualquier pérdida de datos. Para obtener más información sobre McAfee Mobile Security, visite https://www.mcafeemobilesecurity.com

Apéndice – COI

Tabla 4. IOC de aplicaciones de seguridad japonesas falsas

Tabla 5. COI falsos de aplicación policial coreana





Enlace a la noticia original