El grupo APT-C-23 desarrolla su software espía para Android


Investigadores de ESET descubren una nueva versión del software espía de Android que utiliza el grupo de amenazas APT-C-23 contra objetivos en Oriente Medio

Hemos descubierto una versión de software espía de Android que no se informó anteriormente y que utiliza APT-C-23, un grupo de amenazas también conocido como Two-tailed Scorpion y que se dirige principalmente a Oriente Medio. Los productos de ESET detectan el malware como Android / SpyC23.A.

Se sabe que el grupo APT-C-23 ha utilizado componentes de Windows y Android en sus operaciones, y los componentes de Android se describieron por primera vez en 2017. En el mismo año, se publicaron múltiples análisis del malware móvil de APT-C-23.

En comparación con las versiones documentadas en 2017, Android / SpyC23.A tiene una funcionalidad de espionaje extendida, incluida la lectura de notificaciones de aplicaciones de mensajería, grabación de llamadas y grabación de pantalla, y nuevas funciones ocultas, como descartar notificaciones de aplicaciones de seguridad integradas de Android. Una de las formas en que se distribuye el software espía es a través de una tienda de aplicaciones de Android falsa, utilizando aplicaciones conocidas como señuelo.

Cronología y descubrimiento

Las actividades del grupo fueron descritas por primera vez por Qihoo 360 Technology en marzo de 2017 bajo el nombre Escorpión de dos colas. En el mismo año, Palo Alto Networks, Lookout y Trend Micro describieron otras versiones del malware móvil, nombrándolas VAMP, FrozenCell y GnatSpy, respectivamente. Lookout publicó un análisis de otra versión del malware, llamada Escorpión del desierto, en abril de 2018, y a principios de 2020, Check Point Research informó nuevos ataques de malware móvil atribuidos al grupo APT-C-23.

En abril de 2020, @malwrhunterteam tuiteó sobre una nueva muestra de malware de Android. Según el servicio VirusTotal, ningún proveedor de seguridad además de ESET detectó la muestra en ese momento. En cooperación con @malwrhunterteam, reconocimos que el malware es parte del arsenal APT-C-23.

Figura 1. Tasa de detección de VirusTotal para una de las muestras recién descubiertas

En junio de 2020, @malwrhunterteam tuiteó sobre otra muestra de malware de Android poco detectada, que resultó estar relacionada con la muestra de abril. Un análisis más profundo mostró que los descubrimientos de abril y junio eran variantes del mismo nuevo malware de Android utilizado por el grupo APT-C-23.

La figura 2 muestra la cronología de estos eventos.

Figura 2. Cronología del malware móvil APT-C-23 documentado anteriormente y la investigación de 2020 de ESET

Distribución

Gracias a la información de @malwrhunterteam, identificamos una tienda de aplicaciones de Android falsa utilizada para distribuir el malware. En el momento del análisis, la tienda "DigitalApps", que se muestra en la Figura 3, contenía elementos maliciosos y limpios. Los elementos no maliciosos redirigirían a los usuarios a otra tienda de aplicaciones de Android no oficial que ofreciera aplicaciones legítimas. El malware estaba oculto en aplicaciones que se hacían pasar por AndroidUpdate, Threema y Telegram. Los dos últimos de estos señuelos también descargaron las aplicaciones suplantadas con funcionalidad completa junto con el malware. Este mecanismo se describe en detalle en el Funcionalidad sección.

Figura 3. La tienda de aplicaciones falsa que sirve el software espía APT-C-23

Curiosamente, las descargas se vieron limitadas por la necesidad de ingresar un código de cupón de seis dígitos, como se ve en la Figura 4. Esta puede ser una forma de evitar que aquellos que no son objetivo del grupo instalen el malware y, por lo tanto, mantener un perfil más bajo. Aunque no teníamos un código de cupón, descargar la aplicación no fue un problema; todo lo que se necesitaba era agregar "/ download" a la URL.

Figura 4. La tienda de aplicaciones falsa que requiere un código de cupón para descargar malware

Esta tienda de aplicaciones falsa probablemente sea solo uno de los métodos de distribución utilizados por el grupo de amenazas. Nuestra telemetría de 2020 mostró muestras que se hicieron pasar por aplicaciones que no formaban parte de esta tienda de aplicaciones falsa.

Datos de telemetría de ESET

Según la telemetría de ESET y los datos de VirusTotal, Android / SpyC23.A ha estado disponible desde mayo de 2019.

En junio de 2020, los sistemas de ESET bloquearon este software espía en dispositivos cliente en Israel. Las muestras de malware detectadas se disfrazaron como la aplicación de mensajería "WeMessage", que se muestra en la Figura 5.

Si bien hay una aplicación de mensajería legítima llamada weMessage en Google Play, como se ve en la Figura 6, la aplicación maliciosa usa gráficos completamente diferentes y no parece hacerse pasar por la aplicación legítima más que apropiándose de su nombre. En nuestra investigación, no hemos encontrado otra aplicación que utilice la misma interfaz o una interfaz similar a la aplicación maliciosa WeMessage, por lo que es posible que los atacantes hayan creado gráficos personalizados.

No sabemos cómo se distribuyó esta versión particular del software espía; la aplicación maliciosa WeMessage no se ofreció en la tienda de aplicaciones falsa antes mencionada.

Figura 5. Gráficos utilizados por la aplicación maliciosa WeMessage

Figura 6. La aplicación legítima de weMessage en Google Play

Funcionalidad

Según nuestra investigación, el malware se hace pasar principalmente por aplicaciones de mensajería. Los atacantes podrían haber elegido este disfraz para justificar los diversos permisos solicitados por el malware.

Instalación y permisos

Antes de la instalación, Android / SpyC23.A solicita una serie de permisos invasivos, que incluyen tomar fotografías y videos, grabar audio, leer y modificar contactos y leer y enviar SMS.

Después de la instalación, el malware solicita una serie de permisos confidenciales adicionales, utilizando técnicas similares a la ingeniería social para engañar a los usuarios sin experiencia técnica. Estas solicitudes de permisos adicionales se disfrazan como características de seguridad y privacidad:

  • Bajo la apariencia de "Cifrado de mensajes", la aplicación solicita permiso para leer las notificaciones del usuario.
  • Bajo la apariencia de "Mensajes privados", la aplicación solicita permiso para desactivar Play Protect
  • Bajo el disfraz de "Video chat privado", la aplicación solicita permiso para grabar la pantalla del usuario.

Estos pasos se muestran en el video a continuación.


Una vez que se inicializa el malware, en la mayoría de los casos, se solicita a las víctimas que instalen manualmente la aplicación legítima utilizada como señuelo (por ejemplo, Threema), que se almacena en los recursos del malware. Mientras se instala la aplicación legítima, el malware oculta su presencia en el dispositivo afectado. De esta manera, las víctimas terminan con una aplicación en funcionamiento que pretendían descargar y software espía ejecutándose silenciosamente en segundo plano. En algunos casos (por ejemplo, WeMessage, AndroidUpdate), las aplicaciones descargadas no tenían ninguna funcionalidad real y solo servían como cebo para instalar el software espía.

Cuando se lanza por primera vez, el malware comienza a comunicarse con su servidor de comando y control (C&C). Registra a la nueva víctima y envía la información del dispositivo de la víctima al C&C.

Capacidades

Según los comandos recibidos, Android / SpyC23.A puede realizar las siguientes acciones:

  • Tomar fotografías
  • Grabar audio
  • Reiniciar Wi-Fi
  • Exfiltrar registros de llamadas
  • Exfiltra todos los mensajes SMS
  • Exfiltra todos los contactos
  • Descargar archivos al dispositivo
  • Eliminar archivos del dispositivo
  • Robar archivos con extensiones particulares (pdf, doc, docx, ppt, pptx, xls, xlsx, txt, text, jpg, jpeg, png)
  • Desinstale cualquier aplicación instalada en el dispositivo
  • Robar instaladores de APK de aplicaciones instaladas en el dispositivo
  • Ocultar su icono
  • Obtenga saldo de crédito de la SIM en el dispositivo (puede obtener un saldo haciendo una llamada a tres operadores celulares diferentes: Jawwal, Wataniya, Etisalat)

Las siguientes características son nuevas en Android / SpyC23.A en comparación con las versiones documentadas anteriormente:

  • Grabar pantalla y tomar capturas de pantalla
  • Graba llamadas entrantes y salientes en WhatsApp
  • Haga una llamada mientras crea una actividad de superposición de pantalla negra (para ocultar la actividad de la llamada)
  • Lea el texto de las notificaciones de las aplicaciones de mensajería y redes sociales seleccionadas: WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber, imo
  • Descartar notificaciones de aplicaciones de seguridad integradas en algunos dispositivos Android:
    • Notificaciones de SecurityLogAgent en dispositivos Samsung (el nombre del paquete contiene "securitylogagent")
    • Notificaciones de Samsung (el nombre del paquete contiene "samsung.android")
    • Notificaciones de seguridad MIUI en dispositivos Xiaomi (el nombre del paquete contiene "com.miui.securitycenter")
    • Phone Manager en dispositivos Huawei (el nombre del paquete contiene “huawei.systemmanager”)
  • Descartar sus propias notificaciones (una característica inusual, posiblemente utilizada en caso de errores o advertencias mostradas por el malware)

Comunicación C&C

Además de las capacidades de espionaje, la comunicación C&C del malware también se ha actualizado. En versiones anteriores, los C&C en uso estaban codificados y disponibles en texto sin formato o trivialmente ofuscados, por lo que eran más fáciles de identificar. En la versión actualizada, el C&C está bien oculto utilizando varias técnicas y el atacante puede cambiarlo de forma remota.

En esta sección, describiremos cómo Android / SpyC23.A recupera su servidor C&C.

El malware utiliza una biblioteca nativa con tres funciones. Dos de ellos devuelven etiquetas HTML de apertura y cierre para el título y el tercero devuelve una cadena encriptada.

Figura 7. Cadenas devueltas de la biblioteca nativa

La cadena cifrada tiene dos propósitos: la primera parte, antes del guión (“-”), se utiliza como parte de la contraseña para cifrar los archivos extraídos del dispositivo afectado. La segunda parte se decodifica primero (base64) y luego se descifra (AES). La cadena descifrada podría, por ejemplo, sugerir una página de perfil de Facebook para el C&C, pero aún está ofuscada.

Figura 8. URL descifrada pero aún ofuscada

Algunas de las subcadenas de esta cadena se reemplazan en función de una tabla de sustitución simple y luego se reemplaza la parte del dominio de la URL aparente.

Figura 9. URL descifrada y desofuscada

A partir de esta URL, el malware analiza el HTML para su título etiqueta.

Figura 10. Análisis del título del sitio web para recuperar el servidor C&C

El último paso es reemplazar el primer espacio por un guión y el segundo por un punto. Con eso, se realiza la obtención del C&C. Este proceso permite a los operadores de malware cambiar su servidor C&C de forma dinámica.

Figura 11. Comunicación C&C

Los servidores de C&C activos del malware generalmente se hacen pasar por sitios web en mantenimiento, todos con el mismo logotipo, que se muestra en la Figura 12.

Figura 12. El servidor C&C del malware

Conclusión

Nuestra investigación muestra que el grupo APT-C-23 todavía está activo, mejorando su conjunto de herramientas móviles y ejecutando nuevas operaciones. Android / SpyC23.A, la versión de software espía más reciente del grupo, presenta varias mejoras que la hacen más peligrosa para las víctimas.

Para evitar ser víctimas de software espía, recomendamos a los usuarios de Android que solo instalen aplicaciones de la tienda oficial de Google Play. En los casos en que problemas de privacidad, problemas de acceso u otras restricciones impidan que los usuarios sigan este consejo, los usuarios deben tener especial cuidado al descargar aplicaciones de fuentes no oficiales. Recomendamos examinar al desarrollador de la aplicación, verificar los permisos solicitados y utilizar una solución de seguridad móvil confiable y actualizada.

Para cualquier consulta, contáctenos en Threatintel@eset.com.

Indicadores de compromiso (IoC)

Nombre de detección de ESET

Android / SpyC23.A

Hashes

9e78e0647e56374cf9f429dc3ce412171d0b999e
344f1a9dc7f8abd88d1c94f4323646829d80c555
56f321518401528278e0e79fac8c12a57d9fa545
9e1399fede12ce876cdb7c6fdc2742c75b1add9a
6f251160c9b08f56681ea9256f8ecf3c3bcc66f8
91c12c134d4943654af5d6c23043e9962cff83c2
78dd3c98a2074a8d7b5d74030a170f5a1b0b57d4
1c89cea8953f5f72339b14716cef2bd11c7ecf9a
e79849c9d3dc87ff6820c3f08ab90e6aeb9cc216

C y C

https: // sitio web de linda-gaytan (.)
https: // cecilia-gilbert (.) com
https: // david-gardiner (.) sitio web
https: // sitio web de javan-demsky (.)

URL de distribución

https: // tienda de aplicaciones digitales (.)

Técnicas MITRE ATT & CK

Esta mesa fue construida usando versión 7 del marco ATT & CK.

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Acceso inicial T1444 Enmascarar como aplicación legítima Android / SpyC23.A se hace pasar por una aplicación de chat legítima.
T1476 Entregar aplicaciones maliciosas por otros medios SpyC23.A se puede descargar de una tienda de aplicaciones alternativa maliciosa.
Ejecución T1575 Código nativo SpyC23.A utiliza un método nativo para recuperar una cadena cifrada para obtener su C&C.
Persistencia T1402 Receptores de difusión SpyC23.A escucha la transmisión BOOT_COMPLETED, lo que garantiza que la funcionalidad de la aplicación se activará cada vez que se inicie el dispositivo.
Evasión de defensa T1508 Suprimir el icono de la aplicación SpyC23.A oculta su icono.
Descubrimiento T1418 Descubrimiento de aplicaciones SpyC23.A recupera una lista de aplicaciones instaladas.
T1420 Descubrimiento de archivos y directorios SpyC23.A recupera el contenido del directorio de almacenamiento externo.
T1426 Descubrimiento de información del sistema SpyC23.A recupera detalles sobre el dispositivo.
Colección T1433 Acceder al registro de llamadas SpyC23.A extrae el historial de registro de llamadas.
T1432 Acceder a la lista de contactos SpyC23.A exfiltra la lista de contactos de la víctima.
T1517 Acceder a notificaciones SpyC23.A filtra mensajes de aplicaciones de mensajería y redes sociales.
T1429 Capturar audio SpyC23.A puede grabar alrededores y llamadas.
T1512 Capturar cámara SpyC23.A puede tomar fotografías de las cámaras delantera o trasera.
T1412 Capturar mensajes SMS SpyC23.A puede filtrar los mensajes SMS enviados y recibidos.
T1533 Datos del sistema local SpyC23.A roba archivos con extensiones particulares de medios externos.
T1513 La captura de pantalla SpyC23.A puede tomar capturas de pantalla.
Comando y control T1438 Medios de red alternativos SpyC23.A puede usar SMS para recibir mensajes C&C.
T1437 Protocolo de capa de aplicación estándar SpyC23.A se comunica con C&C mediante HTTPS y Firebase Cloud Messaging (FCM).
T1544 Copia de archivo remota SpyC23.A puede descargar archivos especificados por el atacante.
Exfiltración T1532 Datos cifrados Los datos extraídos se transmiten en archivos ZIP protegidos con contraseña.
Impacto T1447 Eliminar datos del dispositivo SpyC23.A puede eliminar archivos especificados por el atacante del dispositivo.





Enlace a la noticia original