El insidioso malware de Android abandona todas las funciones maliciosas, pero una para ganar sigilo


Investigadores de ESET detectan una nueva forma de mal uso del Servicio de Accesibilidad, el talón de Aquiles de la seguridad de Android

Los investigadores de ESET han analizado una aplicación de Android extremadamente peligrosa que puede realizar una serie de acciones nefastas, en particular eliminar la cuenta bancaria de la víctima o la billetera de criptomonedas y hacerse cargo de sus cuentas de correo electrónico o redes sociales. Llamado "ID DEL DEFENSOR", el troyano bancario estaba disponible en Google Play en el momento del análisis. La aplicación está equipada con capacidades estándar de robo de información; sin embargo, este banquero es excepcionalmente insidioso porque después de la instalación requiere una sola acción de la víctima: habilitar el Servicio de Accesibilidad de Android, para liberar completamente la funcionalidad maliciosa de la aplicación.

La aplicación DEFENSOR ID llegó a la tienda de Google Play fuertemente protegida gracias a su sigilo extremo. Sus creadores redujeron la superficie maliciosa de la aplicación al mínimo al eliminar todas las funcionalidades potencialmente maliciosas, excepto una: abusar del servicio de accesibilidad.

El servicio de accesibilidad es conocido desde hace mucho tiempo como el talón de Aquiles del sistema operativo Android. Las soluciones de seguridad pueden detectarlo en innumerables combinaciones con otros permisos y funciones sospechosas, o funcionalidades maliciosas, pero cuando se enfrentan a ninguna funcionalidad adicional o permiso, todos no pudieron activar ninguna alarma en la ID DEL DEFENSOR.

Por "todos" nos referimos a todos los mecanismos de seguridad que protegen la tienda oficial de aplicaciones de Android (incluidos los motores de detección de los miembros de la App Defense Alliance) y todos los proveedores de seguridad que participan en el programa VirusTotal (ver Figura 1).

Figura 1. Según el servicio VirusTotal, ningún proveedor de seguridad detectó la aplicación ID DEFENSOR hasta que se retiró de Play Store

ID DEL DEFENSOR se lanzó el 3 de febrero de 2020 y se actualizó por última vez a v1.4 el 6 de mayo de 2020. La última versión se analiza aquí; no pudimos determinar si las versiones anteriores también eran maliciosas. Según su perfil en Google Play (ver Figura 2), la aplicación alcanzó solo 10+ descargas. Lo informamos a Google el 16 de mayo de 2020 y desde el 19 de mayo de 2020 la aplicación ya no está disponible en Google Play.

El nombre del desarrollador utilizado, GAS Brasil, sugiere que los delincuentes detrás de la aplicación apuntan a usuarios brasileños. Además de incluir el nombre del país, es probable que el nombre de la aplicación implique una relación con la solución antifraude llamada GAS Tecnologia. Ese software de seguridad se instala comúnmente en las computadoras en Brasil, ya que varios bancos requieren que inicie sesión en su banca en línea. Sin embargo, también hay una versión en inglés de la aplicación ID DEFENSOR (ver Figura 3) además de la portuguesa, y esa aplicación no tiene restricciones geográficas ni de idioma.

Más allá del enlace sugerido de GAS Tecnologia, la aplicación promete una mayor seguridad para sus usuarios. La descripción en portugués promete más protección para las aplicaciones del usuario, incluido el cifrado de extremo a extremo. De manera engañosa, la aplicación figuraba en la sección Educación.

Figura 2. La aplicación ID DEFENSOR en Google Play – versión en portugués (se traduce aproximadamente como: "Su nueva aplicación Defensor disponible para: / Individuos / Entidades legales / De ahora en adelante tendrá más protección cuando use sus aplicaciones, cifrado para -los usuarios finales")

Figura 3. La aplicación ID DEFENSOR en Google Play – versión en inglés

Funcionalidad

Después de comenzar, la ID del DEFENSOR solicita los siguientes permisos:

  • permitir modificar la configuración del sistema
  • permitir dibujar sobre otras aplicaciones, y
  • activar servicios de accesibilidad.

Si un usuario desprevenido otorga estos permisos (consulte la Figura 4), el troyano puede leer cualquier texto que se muestre en cualquier aplicación que el usuario pueda iniciar, y enviarlo a los atacantes. Esto significa que los atacantes pueden robar las credenciales de la víctima para iniciar sesión en aplicaciones, SMS y mensajes de correo electrónico, mostrar claves privadas de criptomonedas e incluso códigos 2FA generados por software.

El hecho de que el troyano pueda robar las credenciales de la víctima y también puede controlar sus mensajes SMS y los códigos 2FA generados significa que los operadores de ID DE DEFENSOR pueden omitir la autenticación de dos factores. Esto abre la puerta a, por ejemplo, el control total de la cuenta bancaria de la víctima.

Para asegurarse de que el troyano sobrevive al reinicio del dispositivo, abusa de los servicios de accesibilidad ya activados que lanzarán el troyano justo después del inicio.


Figura 4. Las solicitudes de permiso por ID DE DEFENSOR

Nuestro análisis muestra que el troyano ID DEFENSOR puede ejecutar 17 comandos recibidos del servidor controlado por el atacante, como desinstalar una aplicación, iniciar una aplicación y luego realizar cualquier acción de clic / toque controlada remotamente por el atacante (ver Figura 5).

Figura 5. La lista de comandos que ID del DEFENSOR puede obtener de su servidor C&C

En 2018 vimos comportamiento similar, pero todas las acciones de clic fueron codificadas y adecuadas solo para la aplicación que el atacante eligió. En este caso, el atacante puede obtener la lista de todas las aplicaciones instaladas y luego iniciar de forma remota la aplicación de la víctima de su elección para robar credenciales o realizar acciones maliciosas (por ejemplo, enviar fondos a través de una transferencia bancaria).

Creemos que esta es la razón por la cual el troyano ID DEFENSOR solicita al usuario que permita "Modificar la configuración del sistema". Posteriormente, el malware cambiará el pantalla apagada a 10 minutos Esto significa que, a menos que las víctimas bloqueen sus dispositivos mediante el botón de hardware, el temporizador proporciona suficiente tiempo para que el malware realice de forma remota operaciones maliciosas en la aplicación.

Si el dispositivo se bloquea, el malware no puede desbloquearlo.

Fuga de datos de malware

Cuando analizamos la muestra, nos dimos cuenta de que los operadores de malware dejaron la base de datos remota con algunos de los datos de las víctimas de libre acceso, sin ninguna autenticación. La base de datos contenía la última actividad realizada en alrededor de 60 dispositivos comprometidos. No encontramos ninguna otra información robada de las víctimas que fuera accesible.

Gracias a esta fuga de datos, pudimos confirmar que el malware realmente funcionó según lo diseñado: el atacante tenía acceso a las credenciales ingresadas de las víctimas, correos electrónicos y mensajes mostrados o escritos, etc.

Una vez que llegamos a la base de datos no segura, pudimos observar directamente el comportamiento malicioso de la aplicación. Para ilustrar el nivel de amenaza que representaba la aplicación ID DEFENSOR, realizamos tres pruebas.

Primero, lanzamos una aplicación bancaria e ingresamos las credenciales allí. Las credenciales estuvieron disponibles de inmediato en la base de datos con fugas; consulte la Figura 6.

Figura 6. Prueba de la aplicación bancaria: las credenciales ingresadas (izquierda) y disponibles en la base de datos (derecha)

En segundo lugar, escribimos un mensaje de prueba en un cliente de correo electrónico. Vimos el mensaje cargado en el servidor de los atacantes en un segundo; consulte la Figura 7.

Figura 7. Prueba del mensaje de correo electrónico: el mensaje como está escrito (izquierda) y como está disponible en la base de datos (derecha)

En tercer lugar, documentamos el troyano que recupera el código 2FA de Google Authenticator.

Figura 8. El software generó el código 2FA tal como apareció en la pantalla del dispositivo (izquierda) y como está disponible en la base de datos (derecha)

Junto con la aplicación de ID de DEFENSOR maliciosa, se descubrió otra aplicación maliciosa llamada Defensor Digital. Ambas aplicaciones compartían el mismo servidor de C&C, pero no pudimos investigar el último ya que ya se había eliminado de la tienda Google Play.

Indicadores de compromiso (IoC)

Nombre del paquete Picadillo Nombre de detección de ESET
com.secure.protect.world F17AEBC741957AA21CFE7C7D7BAEC0900E863F61 Android / Spy.BanBra.A
com.brazil.android.free EA069A5C96DC1DB0715923EB68192FD325F3D3CE Android / Spy.BanBra.A

Técnicas MITRE ATT y CK

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Acceso inicial T1475 Entregue la aplicación maliciosa a través de la tienda de aplicaciones autorizadas Suplanta la aplicación de seguridad en Google Play.
T1444 Disfrazarse como aplicación legítima Supla la aplicación legítima de GAS Tecnologia.
Descubrimiento T1418 Descubrimiento de aplicaciones Envía una lista de aplicaciones instaladas en el dispositivo.
Impacto T1516 Inyección de entrada Puede ingresar texto y realizar clics en nombre del usuario.
Colección T1417 Captura de entrada Registra los datos de entrada del usuario.
Comando y control T1437 Protocolo de capa de aplicación estándar Utiliza Firebase Cloud Messaging para C&C.








Enlace a la noticia original