Bienvenido Chat como una aplicación de mensajería segura? Nada mas lejos de la verdad


La investigación de ESET descubre una operación maliciosa que espía a las víctimas y filtra sus datos

Descubrimos una nueva operación dentro de una larga campaña de ciberespionaje en el Medio Oriente. Dirigido a los usuarios de Android a través de la aplicación de chat de bienvenida maliciosa, la operación parece tener enlaces al malware llamado BadPatch, que Enlaces MITRE al grupo de actores de amenazas de Hackers de Gaza conocido también como Molerats.

Nuestro análisis muestra que la aplicación Welcome Chat permite espiar a sus víctimas. Sin embargo, no es simple spyware. Welcome Chat es una aplicación de chat en funcionamiento que ofrece la funcionalidad prometida junto con su capacidad de espionaje oculta.

Descubrimos que este spyware se anunciaba a usuarios hambrientos de chat (estas aplicaciones están prohibidas en algunos países de la región de Medio Oriente) en un sitio web dedicado (ver Figura 1). El hecho de que el sitio web esté en árabe se ajusta a la orientación de toda la campaña a la que creemos que pertenece esta operación. El dominio fue registrado en octubre de 2019; sin embargo, no pudimos determinar cuándo se lanzó el sitio web.

Figura 1. El sitio web de la aplicación maliciosa Welcome Chat

El sitio web malicioso promueve la aplicación Welcome Chat, alegando que es una plataforma de chat segura que está disponible en la tienda Google Play. Ambas afirmaciones son falsas. Con respecto al reclamo "seguro", nada está más lejos de la verdad. Welcome Chat no solo es una herramienta de espionaje; Además de eso, sus operadores dejaron los datos recolectados de sus víctimas disponibles gratuitamente en Internet. Y la aplicación nunca estuvo disponible en la tienda oficial de aplicaciones de Android.

Figura 2. A pesar de la leyenda que dice "Alta calidad, segura y disponible en Google Play", el botón lleva al archivo de instalación que se descarga directamente desde el sitio web malicioso

Funcionalidad / Análisis

Una vez que el usuario descarga la aplicación, necesita que se active la configuración "Permitir instalar aplicaciones de fuentes desconocidas" ya que la aplicación no se descargó de Play Store.

Después de la instalación, la aplicación maliciosa solicitará a la víctima que permita permisos tales como enviar y ver mensajes SMS, acceder a archivos, grabar audio y acceder a contactos y a la ubicación del dispositivo. Una lista tan extensa de permisos intrusivos normalmente puede hacer sospechar a las víctimas, pero con una aplicación de mensajería, es natural que sean necesarias para que la aplicación brinde la funcionalidad prometida.

Figura 3. Solicitudes de permiso del spyware Welcome Chat

Para poder comunicarse con otros usuarios de esta aplicación, el usuario debe registrarse y crear una cuenta personal (consulte la Figura 4).

Figura 4. El cuadro de diálogo Registrarse / Iniciar sesión de la aplicación Welcome Chat

Inmediatamente después de recibir estos permisos, Welcome Chat envía información sobre el dispositivo a sus C&C y está listo para recibir comandos. Está diseñado para contactar al servidor de C&C cada cinco minutos.

Además de su funcionalidad central de espionaje, monitoreando las comunicaciones de chat de sus usuarios, la aplicación Welcome Chat puede realizar las siguientes acciones maliciosas: filtrar mensajes SMS enviados y recibidos, historial de registro de llamadas, lista de contactos, fotos de usuarios, llamadas telefónicas grabadas, el GPS ubicación del dispositivo e información del dispositivo.

¿Aplicación de chat troyanizada o desarrollada por atacante?

Una pregunta interesante surge con las aplicaciones troyanas funcionales: ¿es la aplicación una versión troyanizada por atacante de una aplicación limpia, o los atacantes desarrollaron una aplicación maliciosa desde cero?

En ambos casos, es fácil para los atacantes espiar los mensajes intercambiados en la aplicación, ya que, naturalmente, tendrían las claves de autorización para la base de datos del usuario.

A pesar de que la primera opción es típica para aplicaciones trojanizadas, creemos que en este caso particular, la segunda explicación es más probable.

Por lo general, las aplicaciones trojanizadas se crean mediante un proceso de agregar la funcionalidad maliciosa a una aplicación legítima. Los malos encuentran y descargan una aplicación adecuada. Después de descompilarlo, agregan la funcionalidad maliciosa y vuelven a compilar la aplicación ahora maliciosa pero que todavía funciona para difundirla entre su audiencia deseada.

Hay una gran interrogante con esta opción: hasta el día de hoy, no hemos podido descubrir ninguna versión limpia de la aplicación Welcome Chat. No solo no se puede encontrar en ninguno de los mercados de Android que tenemos en nuestro radar; según los algoritmos de coincidencia binaria en nuestros sistemas de clasificación de muestras, no hemos encontrado ninguna aplicación limpia con esta misma funcionalidad de chat. De interés a este respecto es que una versión limpia de Welcome Chat, sin la funcionalidad de espionaje, se cargó en VirusTotal a mediados de febrero de 2020 (hash: 757bd41d5fa99e19200cee59a3fd1577741ccd82) La versión maliciosa se envió por primera vez a VirusTotal una semana antes.

Esto nos lleva a creer que los atacantes desarrollaron la aplicación de chat maliciosa por su cuenta. Crear una aplicación de chat para Android no es difícil; Hay muchos tutoriales detallados en Internet. Con este enfoque, los atacantes tienen un mejor control sobre la compatibilidad de la funcionalidad maliciosa de la aplicación con sus funciones legítimas, por lo que pueden asegurarse de que la aplicación de chat funcione.

Análisis de código

La aplicación de espionaje Welcome Chat parece estar dirigida a usuarios de habla árabe: tanto el idioma predeterminado del sitio web como el idioma predeterminado de la aplicación son el árabe. Sin embargo, en función de los registros de depuración que quedan en el código, las cadenas, la clase y los nombres de variables únicos, pudimos determinar que la mayor parte del código malicioso se copió de proyectos de código abierto disponibles públicamente y fragmentos de ejemplos de código disponibles en foros públicos.

Figura 5. El desarrollador utilizó diferentes piezas de código fuente abierto para crear la aplicación maliciosa

En algunos casos, el código fuente abierto copiado es bastante antiguo; consulte la Tabla 1. Como posible explicación, todos los ejemplos enumerados se encuentran en la parte superior entre los resultados de la búsqueda simple en Google de las funcionalidades respectivas.

Tabla 1. Los orígenes del código malicioso

Funcionalidad Fuente Años de edad)
Grabacion de llamada fuente abierta, GitHub 8
Robo de SMS fuente abierta, GitHub 6 6
Coordenadas de Google Maps fuente abierta, Blogspot (más otras fuentes) 5 5
Seguimiento GEO fuente abierta, GitHub 8
Rastreo GPS fuente abierta, GitHub 5 5

Fuga de datos del usuario

La aplicación Welcome Chat, incluida su infraestructura, no se creó teniendo en cuenta la seguridad. La aplicación carga todos los datos robados del usuario al servidor controlado por el atacante a través de HTTP no seguro.

Los datos transmitidos no están encriptados y, debido a eso, no solo están disponibles para el atacante, sino que son de libre acceso para cualquier persona en la misma red.

La base de datos contiene datos como el nombre, el correo electrónico, el número de teléfono, el token del dispositivo, la foto de perfil, los mensajes y la lista de amigos; de hecho, todos los datos de los usuarios, excepto las contraseñas de las cuentas, se pueden cargar en el servidor no seguro.

Figura 6. El dispositivo de la víctima carga los datos del usuario en el servidor de la aplicación

Figura 7. Fuga de la base de datos del usuario

Figura 8. Información de usuario filtrada

Figura 9. Un ejemplo de un mensaje integrado en la aplicación que se puede acceder libremente en el servidor no seguro de la aplicación

Una vez que descubrimos que la información confidencial era de acceso público, intensificamos nuestros esfuerzos para descubrir al desarrollador de la aplicación de chat legítima (es decir, la aplicación que la herramienta de espionaje era, eventualmente, una versión troyanada) para revelarles la vulnerabilidad. No encontramos al desarrollador ni a la aplicación, lo que nos convenció de que la aplicación se creó desde el principio como maliciosa. Naturalmente, no hicimos ningún esfuerzo por llegar a los actores maliciosos detrás de la aplicación.

Posible conexión BadPatch

La aplicación de espionaje Welcome Chat pertenece a la misma familia de malware de Android que identificamos a principios de 2018. Ese malware usó el mismo servidor C&C, pal4u.net, que la campaña de espionaje dirigida al Medio Oriente que Palo identificó a fines de 2017. Alto Networks y llamado BadPatch. A finales de 2019, Fortinet describió otra operación de espionaje centrada en objetivos palestinos con el dominio pal4u.net entre sus indicadores de compromiso.

Por estas razones, creemos que esta campaña con nuevos troyanos de Android proviene de los actores de la amenaza detrás de la campaña BadPatch a largo plazo.

Recomendación

Si bien la operación de espionaje basada en el chat de bienvenida parece tener un objetivo limitado, recomendamos encarecidamente que los usuarios no instalen ninguna aplicación desde fuera de la tienda oficial de Google Play, a menos que sea una fuente confiable, como un sitio web de un proveedor de seguridad establecido o alguien de buena reputación. institución financiera. Además de eso, los usuarios deben prestar atención a los permisos que requieren sus aplicaciones y sospechar de cualquier aplicación que requiera permisos más allá de su funcionalidad y, como medida de seguridad muy básica, ejecutar una aplicación de seguridad acreditada en sus dispositivos móviles.

Indicadores de compromiso (IoC)

Picadillo Nombre de detección de ESET
C60D7134B05B34AF08023155EAB3B38CEDE4BCCD Android / Spy.Agent.ALY
C755D37D6692C650692F4C637AE83EF6BB9577FC Android / Spy.Agent.ALY
89AB73D4AAF41CBCDBD0C8C7D6D85D21D93ED199 Android / Spy.Agent.ALY
2905F2F60D57FBF13D25828EF635CA1CCE81E757 Android / Spy.Agent.ALY

C&C: emobileservices.club

Técnicas MITRE ATT y CK

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Acceso inicial T1444 Disfrazarse como aplicación legítima Welcome Chat se hace pasar por una aplicación de chat legítima.
Persistencia T1402 Inicio automático de la aplicación al iniciar el dispositivo Welcome Chat escucha la transmisión BOOT_COMPLETED, asegurando que la funcionalidad de la aplicación se activará cada vez que se inicie el dispositivo.
Descubrimiento T1426 Descubrimiento de información del sistema Welcome Chat recopila información sobre el dispositivo.
Colección T1412 Capture mensajes SMS El chat de bienvenida filtra los mensajes SMS enviados y recibidos.
T1430 Seguimiento de ubicación Bienvenido Chat espía la ubicación del dispositivo.
T1433 Acceder al registro de llamadas El chat de bienvenida filtra el historial de registro de llamadas.
T1432 Acceda a la lista de contactos Bienvenido Chat exfiltra la lista de contactos del usuario.
T1429 Capturar audio Bienvenido Chat graba alrededor del audio.
T1533 Datos del sistema local Welcome Chat roba las fotos de los usuarios almacenadas en el dispositivo.
Comando y control T1437 Protocolo de capa de aplicación estándar Welcome Chat carga datos extraídos utilizando el protocolo HTTP.





Enlace a la noticia original