Los investigadores descubren una nueva ofuscación como servicio …



Los investigadores detallan cómo un servicio de ofuscación de APK de Android automatiza la evasión de detección para aplicaciones altamente maliciosas.

Una nueva plataforma de ofuscación como servicio detallada hoy por los investigadores durante la conferencia digital Botconf 2020 ofrece otro punto de prueba de cuán robusta es la economía ciberdelincuente para satisfacer las necesidades del mercado de sombreros negros. En este caso, los piratas informáticos emprendedores desarrollaron una plataforma de servicio totalmente automatizada para proteger los kits de paquetes de Android (APK) de malware móvil de la detección de antivirus. Ofrecido de forma única o mediante una suscripción mensual recurrente, el servicio estuvo disponible para los autores de malware móvil tanto en inglés como en ruso durante al menos seis meses de 2020, potencialmente más.

El servicio fue encontrado y examinado por un equipo colaborativo de tres organizaciones: Masarah Paquet-Clouston de GoSecure, Vit Sembera de Craze Micro y María José Erquiaga y Sebastián García del Laboratorio Stratosphere. Inicialmente se enteraron del servicio, que eligieron no nombrar para evitar avisar a los operadores del servicio, cuando estaban analizando la actividad relacionada con la propagación de la botnet troyano bancario Android Geost. Descubrieron registros de chat filtrados entre los operadores de la botnet Geost que se referían a un servicio de ofuscación y comenzaron a hurgar para descubrir qué se estaba discutiendo.

En su búsqueda de investigación, encontraron un servicio que brindaba ofuscación por $ 20 por APK o $ 100 por 10 APK. Alternativamente, el proveedor también ofreció acceso ilimitado de 30 días por $ 850. Al analizar más a fondo las ofertas de servicios y cómo funcionaba, encontraron más de 3.000 archivos APK enviados en VirusTotal que parecían haber sido ofuscados por el servicio en 2020.

Al profundizar en las herramientas de inteligencia de amenazas al buscar con jerga equivalent a la que los operadores de botnet Geost solían referirse al servicio, los investigadores encontraron una serie de otros competidores existentes de ofuscación como servicio que operaban en foros de la Dark World wide web en 2020. Este fue único. en comparación con los otros seis encontrados en estas búsquedas, según Paquet-Clouston.

«Ninguno de estos competidores ofrecía una plataforma con API, y todos dijeron que las compras se realizan a través de mensajes privados en Jabber o telegram», dijo durante la presentación, explicando que todas eran más caras que la plataforma que examinaron. «Entonces, nuestra hipótesis es que estos competidores probablemente estén haciendo ofuscación guide, por lo tanto, los precios más altos. El que investigamos fue ofrecer una API y ofuscación automática, lo que podría haber sido una ventaja competitiva en el mercado».

En términos de eficiencia para evadir la detección, Paquet-Clouston dijo que el servicio era de «calidad media» y que, en aplicaciones menos maliciosas, en realidad daría como resultado una mayor probabilidad de detección después de ser aplicado al APK. Como resultado, los clientes de este servicio son principalmente autores de aplicaciones altamente maliciosas, para las cuales la ofuscación sería más efectiva.

La buena noticia para los defensores es que, si bien los atacantes hicieron todo lo posible para automatizar el servicio, ese proceso de automatización «facilita la toma de huellas dactilares de la ofuscación», Paquet-Clouston declarado en una publicación.

Para los investigadores de seguridad que buscan profundizar en los detalles técnicos del servicio, Paquet-Clouston ha proporcionado hashes relacionados con la ofuscación. en su página de GitHub.

Ericka Chickowski se especializa en cobertura de tecnología de la información e innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor parte de una década y escribe regularmente sobre la industria de la seguridad como colaboradora de Dark Studying. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial