¿Estás seguro de que tienes la aplicación Aarogya Setu correcta en tu teléfono?


Tiempo estimado de lectura: 5 5 minutos

El gobierno de India lanzó una aplicación móvil llamada Aarogya Setu para facilitar el rastreo de contactos de personas durante la pandemia de Covid-19. Tiene un número récord de descargas en muy poco tiempo en Google Play Store. Según las estadísticas del gobierno, tiene más de 10 millones de usuarios registrados y el número crece cada día.

En esta ola, los autores de malware están haciendo mal uso del nombre "Aarogya Setu" para plantar aplicaciones maliciosas en el teléfono de los usuarios finales. Recopilamos muchas aplicaciones de diversas fuentes que se hacen pasar por la aplicación original Aarogya Setu. Al analizar estas aplicaciones, encontramos algunas aplicaciones maliciosas que se veían exactamente como la aplicación oficial. Todas las muestras que tenemos son versiones modificadas de malware encontrado anteriormente con algunos cambios menores realizados para dar un aspecto similar a la aplicación Aarogya Setu.

Aquí hay un análisis comparativo de algunas de estas aplicaciones similares maliciosas:

Aplicaciones de spyware Aarogya setu:

Todas estas muestras usan Spynote RAT.

Spynote:

Spynote es una RAT (herramienta de administración remota), que permite a los autores de malware tomar el control completo de un dispositivo infectado. Tiene diferentes versiones que han evolucionado con el tiempo y ofrece diferentes funciones para espiar dispositivos infectados. Estas características incluyen principalmente el robo de mensajes SMS, detalles de contacto, etc. Spynote tiene su propio sitio: spynote (.) Nosotros. El dominio fue confiscado por el FBI recientemente.

captura de pantalla del sitio de spynote incautado

fig.1 Dominio de Spynote incautado

Aquí hay una comparación del antiguo APK de malware y la reciente aplicación Aarogya Setu Fake,

IOC de muestra de malware antiguo: 7ab951806650fb865436f03dedc0555b

Aarogya Setu Muestra falsa IOC: df5698d5aef850b217cbbfa9789bd347

Ambas aplicaciones llevan una aplicación legítima en su directorio "res / raw" llamado "google.apk". Estos archivos son de aplicaciones que quieren hacer como destino. Para esta aplicación falsa Aarogya Setu es un archivo apk de la aplicación oficial Aarogya Setu. En el momento del lanzamiento, el malware instala esta aplicación legítima y se oculta. Después de eso, comienza su actividad maliciosa en silencio en segundo plano.

La figura 2 (a) es un fragmento de código del código de robo de mensajes implementado onReceive método de la Receptor de radiodifusión clase C10. En este método, el malware toma el texto del mensaje y lo asigna a la variable del servicio C11. Este servicio en estas aplicaciones es responsable de su actividad maliciosa. Estas dos aplicaciones tienen un código similar.

fig.2 (a) Código de la aplicación falsa Aarogya Setu que accede al texto de SMS

Como la aplicación falsa Aarogya Setu está dirigida a la aplicación oficial Aarogya Setu, los autores de malware han realizado cambios en consecuencia. Han agregado el icono de Aarogya Setu en ic_launcher. Para establecer el nombre de la aplicación como Aarogya Setu, han cambiado el valor de android: etiqueta en AndroidManifest.xml y según ese valor se cambia en res-> valores-> string.xml. Ver en la figura 2 (b).

fig.2 (b) Comparación de iconos

IoC (aplicaciones que se hacen pasar por la aplicación Aarogya setu y / o usan un nombre de paquete similar o el mismo ícono o ambos) –

df5698d5aef850b217cbbfa9789bd347

bbe84ba545d652d9e06635a6e89d48b5

ecaeb619b1226a5e22caed93478fc0ba

5ab7bbba0de6d8a74782f107e7a37cc1

e5e44ac40123023eebd5caf9662f05d1

Bfa19e91bb4b25d34ac10ad7b9fc5df2

Aarogya Setu parcheado con Metasploit:

Nos encontramos con una aplicación que es una versión parcheada de la versión 1.04 oficial de la aplicación Aarogya Setu. La aplicación se crea parcheando la aplicación oficial con el nombre del paquete "xrcpryfabq.peotrafpop". Este paquete contiene el código Metasploit.

¿Qué es Metasploit? – Metasploit es un marco de explotación utilizado para pruebas de penetración. Contiene muchos exploits y cargas útiles. Aquí este Metasploit tiene un código de descarga de troyanos. Los autores de malware acaban de agregar una línea del código para iniciar la actividad desde el código Metasploit sin cambiar el código restante de la aplicación oficial.

La figura 3 (a) muestra que una línea agregó código nwvrhdtun.start () en Crear método de la clase de aplicación para iniciar la actividad Metasploit, la figura 3 (b) muestra el paquete Metasploit agregado xrcpryfabq.peotrafpop.

A continuación, la figura 3 (c) muestra el paquete de la carga útil de Metasploit, que se crea utilizando "msfvenom"Comando. El mismo paquete está parcheado en la aplicación oficial Aarogya Setu para convertirlo en una aplicación maliciosa.

fig.3 (c)

Aplicación maliciosa IoC: 2b67566ecdb6fb9fb625508cc0bafa97

El malware Android Trojan dropper usa la fama de Aarogya Setu:

Tenemos algunas muestras maliciosas que usan el mismo nombre de paquete que Aarogya Setu, es decir "nic.goi.aarogyasetu ". Todas estas muestras son malware troyano dropper. El código utilizado es similar al código utilizado en la aplicación CamScanner infectada que apareció el año pasado.

Estas muestras contienen encriptados "mutter.zip"En su directorio de activos. Hay una clase llamada "Duración"Que tiene un código para descifrar esto mutter.zip archivo. Esta mutter.zip El archivo contiene código malicioso para descargar archivos de malware.

Afortunadamente, estas aplicaciones falsas de Aarogya Setu no se instalarán en el dispositivo de los usuarios, como uno de los atributos de la etiqueta de la aplicación en el archivo de manifiesto "android: testOnly"Está establecido en verdadero y estas aplicaciones no están firmadas correctamente. Parece que estos malwares están en fase de desarrollo, pero en el futuro los autores de malware pueden encontrar versiones mejoradas de estos.

Debajo de los COI hay muestras maliciosas que tienen un nombre de paquete similar al de la aplicación Aarogya Setu:

05d3004cab3626c2d09a45ed5ca9b3fd

0ab6b90d044ba4ca847849617769d563

1627d6bc5b521e20e0a6eb107b6b8102

3f06bc51873f08e89d968546da8264ab

52bb57bbc86d9d3b2125a50efc1f2594

Difusión de vectores:

Estas aplicaciones no están disponibles en Google Play Store, pero los autores de malware aún intentan promocionarlas entre usuarios desprevenidos de varias maneras. ¿Cómo pueden hacer esto? Esta sección trata de responder esta pregunta.

1) YouTube y otros comentarios en redes sociales:

Mientras buscaba videos relacionados con Aarogya Setu en YouTube, encontramos un video sobre "cómo descargar la aplicación Aarogya Setu". Este video se cargó hace un mes, pero sigue siendo un ejemplo de propagación de vectores.

En la sección de comentarios de este video, una persona comentó un enlace diciendo que este es un enlace alternativo para descargar la aplicación Aarogya Setu. Este enlace abre una página con la opción de generar un enlace, después de hacer clic en eso, redirige a una página diferente cada vez. En este proceso, descarga un apk con el nombre "setting.apk" (COI: da4eca06258b72341abe469c3d022d81) y esto no es más que una aplicación de cuentagotas troyano.

Comentario de YouTube que promociona una aplicación maliciosa con el nombre de Aarogya Setu fig.4 Comentario de YouTube que promueve una aplicación maliciosa

2) WhatsApp y otros mensajes de redes sociales:

Es posible que haya visto mensajes que ofrecen datos gratuitos, suscripciones gratuitas con algún enlace mencionado. Este tipo de mensajes generalmente se utilizan para difundir dichos malwares. Consulte este blog: tenga cuidado con las estafas durante este momento crucial de la pandemia de CoronaVirus para obtener más información.

Quick Heal Mobile Security detecta todas las muestras mencionadas anteriormente.

Consejos para mantenerse a salvo

  • Descargue aplicaciones solo de fuentes confiables como Google Play Store.
  • No haga clic en enlaces extraterrestres recibidos a través de mensajes o cualquier otra plataforma de redes sociales.
  • Desactiva la instalación desde una fuente desconocida.
  • Verifique la lista de aplicaciones instaladas de vez en cuando.
  • Lea los mensajes emergentes que recibe del sistema Android antes de aceptar / permitir nuevos permisos.
  • Use un antivirus confiable como Quick Heal Mobile Security para mantenerse a salvo de los malwares de Android.

¡Quédese seguro, quédese en casa!

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia original