¿Noticias de última hora? La aplicación promete noticias, trae ataques DDoS


Después de ser atacado por una aplicación Android DDoS, ESET aprovechó la oportunidad para analizar el ataque y ayudar a ponerle fin.

Los investigadores de ESET descubrieron una aplicación de Android maliciosa utilizada para lanzar ataques DDoS. Gracias al hecho de que el sitio web de ESET era el objetivo, los investigadores de ESET pudieron identificar la aplicación, analizarla e informarla a Google, que rápidamente la eliminó de Play Store.

El ataque dirigido al sitio web global de ESET, www.eset.com, ocurrió en enero de 2020. Duró siete horas y se realizó utilizando más de 4.000 direcciones IP únicas. Aquellos fueron identificados como maliciosos y bloqueados para el momento del ataque.

Nuestro análisis mostró que el ataque se llevó a cabo utilizando miles de instancias de la aplicación "Actualizaciones para Android" que estaba, en ese momento, disponible en la tienda oficial de aplicaciones de Android. La única funcionalidad maliciosa de la aplicación se basaba en su capacidad para cargar JavaScript desde un servidor controlado por el atacante y ejecutarlo en el dispositivo del usuario. Esto explica por qué la aplicación llegó a Play Store.

La aplicación "Actualizaciones para Android" se cargó por primera vez en Play Store el 9 de septiembre de 2019. La versión original de la aplicación carecía de la funcionalidad de cargar JavaScript que, en última instancia, se abusaba de llevar a cabo el ataque DDoS; se agregó en la mayoría de las aplicaciones Actualización reciente dos semanas antes del ataque. La aplicación alcanzó más de 50,000 instalaciones; no sabemos cuántas instancias de la aplicación se instalaron después de la actualización o se actualizaron a la versión maliciosa. Según nuestro aviso, Google eliminó rápidamente la aplicación de Play Store.

Para atraer a sus víctimas y posar legítimamente, la aplicación tiene un sitio web correspondiente, i-Updater (.) com, que se promociona como "actualizaciones diarias de noticias". (El sitio web todavía está activo; no hay motivos para realizar ningún esfuerzo de eliminación, ya que el sitio web en sí no es malicioso).

Figura 1. El sitio web que promociona la aplicación maliciosa "Actualizaciones para Android"

Funcionalidad

La funcionalidad anunciada de la aplicación "Actualizaciones para Android", que todavía está disponible en fuentes de aplicaciones no oficiales, muestra al usuario una fuente de noticias diarias.

Figura 2. Apariencia de la aplicación maliciosa en Google Play antes de su eliminación

Incluso si se descarta la malicia de la aplicación, su nombre y también el nombre de su desarrollador, "Aplicaciones del sistema", son engañosos. La aplicación no tiene nada que ver con ningún sistema o actualizaciones del sistema.

Para evitar sospechas, la aplicación muestra algunas noticias; sin embargo, su funcionalidad principal es recibir comandos de un sitio web predefinido que sirve como servidor de Comando y Control (C&C). El malware hace ping a los C&C cada 150 minutos y proporciona su ID de dispositivo, una medida que permite que cada dispositivo se controle individualmente.

Figura 3. Lista de comandos que la aplicación Actualizaciones para Android podría ejecutar

Figura 4. Lista de comandos recibidos de C&C

Funcionalidad maliciosa

Según los comandos que la aplicación recibe de los C&C, puede mostrar anuncios en el navegador predeterminado del usuario (nota: esta funcionalidad se extiende fuera de la aplicación), ocultar la presencia de la aplicación al usuario ocultando el icono de la aplicación y ejecutar arbitrariamente , JavaScript suministrado de forma remota.

Esta última funcionalidad se utilizó para llevar a cabo el ataque DDoS en el sitio web de ESET.

La siguiente información proviene del análisis de las muestras utilizadas en el ataque.

El malware abriría un archivo local llamado new_method.html que la aplicación lleva en sus activos. Su objetivo es cargar JavaScript remoto servido por el servidor C&C.

Figura 5. El contenido de la new_method.html archivo

Según el código JavaScript recibido por la aplicación de sus C&C, el dispositivo se conecta cada segundo al sitio web objetivo para inundarlo con tráfico.

Figura 6. Código devuelto por el servidor del atacante y ejecutado por un dispositivo infectado

El ataque DDoS comienza con el dispositivo comprometido que recibe un comando para cargar el script del atacante que especifica el dominio objetivo. Una vez que se carga la secuencia de comandos, el dispositivo comienza a realizar solicitudes al dominio de destino hasta que el servidor de C&C le proporciona otra secuencia de comandos que puede contener un dominio de destino diferente.

Desde que comenzamos a monitorear el sitio web que proporciona la funcionalidad de C&C a la botnet, fuimos testigos de la publicación de otros seis scripts, cada uno con un dominio diferente para que los dispositivos cautivos atacaran. Esas fueron noticias notables y sitios de comercio electrónico, la mayoría de ellos en Turquía. Desde el 2 de febrero, el script está vacío, lo que significa que los atacantes trataron de servir su botnet hasta dos días después de que Google puso fin a (la mayor parte).

Conclusión

El método descrito de ataque DDoS depende de la cantidad de dispositivos infectados disponibles para los atacantes. Fuera del número teórico de más de 50,000, alrededor del 10% estuvieron realmente involucrados en el ataque.

El ataque descrito muestra que los atacantes pueden ser pacientes y esperar a que la base de usuarios de una aplicación crezca hasta el tamaño requerido antes de implementar la funcionalidad maliciosa en la aplicación.

La detección de este tipo de funcionalidad maliciosa no es fácil, ya que docenas de kits y marcos legítimos de desarrollo de software de Android utilizan la misma técnica (por supuesto, sin cargar ningún JavaScript malicioso). Esto significa que cualquier detección simple basada en dicho código daría lugar a muchos falsos positivos.

Sin embargo, el hecho de que las soluciones simples no sean viables no significa que los usuarios de dispositivos Android no tengan ninguna posibilidad de protección. Hemos mejorado nuestros mecanismos de detección en función de lo que aprendimos de las características y el comportamiento de esta aplicación. Algunas de esas mejoras ya se han implementado en las tecnologías que utilizamos para la protección de Play Store dentro de la App Defense Alliance. Otros se están implementando en otras capas de seguridad en nuestra solución de seguridad de punto final, incluidas nuestras detecciones basadas en aprendizaje automático.

Indicadores de compromiso (IoC)

Nombre del paquete Picadillo Detección
com.world.hello.myapplication 34A6BD8B96729B6F87EC5E4110E02BEE1C76F5A9 Trojan.Android/Hiddad.AJN

Técnicas MITRE ATT y CK

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Acceso inicial T1475 Entregue la aplicación maliciosa a través de la tienda de aplicaciones autorizadas El malware se hace pasar por servicios legítimos en Google Play.
Persistencia T1402 Inicio automático de la aplicación al iniciar el dispositivo El malware escucha la transmisión BOOT_COMPLETED, asegurando que la funcionalidad de la aplicación se activará cada vez que se inicie el dispositivo.
Evasión de defensa T1508 Suprimir icono de aplicación El malware oculta su icono del lanzador.
Impacto T1472 Generar ingresos publicitarios fraudulentos El malware puede mostrar publicidad no deseada.
Comando y control T1436 Puerto de uso común El malware usa el puerto 443 para sus comunicaciones C&C.
T1437 Protocolo de capa de aplicación estándar El malware usa HTTPS para sus comunicaciones de C&C.








Enlace a la noticia original