Aplicaciones inteligentes de fraude de facturación en Google Play: Etinu


Una nueva ola de aplicaciones fraudulentas ha llegado a la tienda Google Play, dirigida a los usuarios de Android en el suroeste de Asia y la Península Arábiga también, con una suma de más de 700.000 descargas antes de que McAfee Mobile Research las detecte y coopere con Google para eliminar las aplicaciones.

Figura 1. Aplicaciones infectadas en Google Play

Haciéndose pasar por editores de fotos, fondos de pantalla, rompecabezas, máscaras de teclado y otras aplicaciones relacionadas con la cámara, el malware incrustado en estas aplicaciones fraudulentas secuestra las notificaciones de mensajes SMS y luego realiza compras no autorizadas. Si bien las aplicaciones pasan por un proceso de revisión para asegurarse de que son legítimas, estas aplicaciones fraudulentas llegaron a la tienda enviando una versión limpia de la aplicación para su revisión y luego introduciendo el código malicioso a través de actualizaciones de la aplicación.

Figura 2. Reseñas negativas en Google Play

Seguridad móvil de McAfee detecta esta amenaza como Android / Etinu y alerta a los usuarios móviles si están presentes. El equipo de McAfee Mobile Research continúa monitoreando esta amenaza y también continúa su cooperación con Google para eliminar estas y otras aplicaciones maliciosas en Google Play.

Análisis técnico

En términos de detalles, el malware incrustado en estas aplicaciones aprovecha la carga de código dinámico. Las cargas útiles cifradas de malware aparecen en la carpeta de activos asociada con la aplicación, con nombres como "cache.bin", "settings.bin", "data.droid" o archivos ".png" aparentemente inocuos, como se ilustra a continuación.

Figura 3. Recurso cifrado infiltrado en la carpeta de activos

Figura 4. Flujo de descifrado

La figura anterior muestra el flujo de descifrado. En primer lugar, el código malicioso oculto en el .apk principal abre el archivo "1.png" en la carpeta de activos, lo descifra en "loader.dex" y luego carga el .dex eliminado. El "1.png" se cifra utilizando RC4 con el nombre del paquete como clave. La primera carga útil crea una solicitud HTTP POST al servidor C2.

Curiosamente, este malware utiliza servidores de administración de claves. Solicita claves de los servidores para la segunda carga útil cifrada AES, "2.png". Y el servidor devuelve la clave como el valor "s" de JSON. Además, este malware tiene una función de actualización automática. Cuando el servidor responde al valor de "URL", se utiliza el contenido de la URL en lugar de "2.png". Sin embargo, los servidores no siempre responden a la solicitud o devuelven la clave secreta.

Figura 5. Respuesta de carga útil actualizada

Como siempre, las funciones más maliciosas se revelan en la etapa final. El malware secuestra el oyente de notificaciones para robar mensajes SMS entrantes como Guasón de Android lo hace el malware, sin el permiso de lectura de SMS. Como un sistema en cadena, el malware luego pasa el objeto de notificación a la etapa final. Cuando la notificación ha surgido del paquete de SMS predeterminado, el mensaje finalmente se envía mediante la interfaz de JavaScript de WebView.

Figura 6. Flujo de entrega de notificaciones

Como resultado de nuestra investigación adicional en los servidores C2, se encontró la siguiente información, incluido el operador, el número de teléfono, el mensaje SMS, la dirección IP, el país, el estado de la red, etc., junto con suscripciones de renovación automática:

Figura 7. Datos filtrados

¿Más amenazas como estas por venir?

Esperamos que las amenazas que aprovechan Notification Listener continúen floreciendo. El equipo de McAfee Mobile Research continúa monitoreando estas amenazas y protegiendo a los clientes analizando el malware potencial y trabajando con las tiendas de aplicaciones para eliminarlo. Además, usando Seguridad móvil de McAfee puede detectar dichas amenazas y protegerte de ellas a través de sus actualizaciones periódicas. Sin embargo, es importante prestar atención a las aplicaciones que solicitan permisos relacionados con SMS y permisos de escucha de notificaciones. En pocas palabras, las aplicaciones legítimas de fotos y fondos de pantalla simplemente no las solicitarán porque no son necesarias para que se ejecuten. Si una solicitud parece sospechosa, no la permita.

Datos técnicos y COI

Matriz MITRE ATT & CK

IoC

08C4F705D5A7C9DC7C05EDEE3FCAD12F345A6EE6832D54B758E57394292BA651 com.studio.keypaper2021
CC2DEFEF5A14F9B4B9F27CC9F5BBB0D2FC8A729A2F4EBA20010E81A362D5560C com.pip.editor.camera
007587C4A84D18592BF4EF7AD828D5AAA7D50CADBBF8B0892590DB48CCA7487E org.my.favorites.up.keypaper
08FA33BC138FE4835C15E45D1C1D5A81094E156EEF28D02EA8910D5F8E44D4B8 com.super.color.hairdryer
9E688A36F02DD1B1A9AE4A5C94C1335B14D1B0B1C8901EC8C986B4390E95E760 com.ce1ab3.app.photo.editor
018B705E8577F065AC6F0EDE5A8A1622820B6AEAC77D0284852CEAECF8D8460C com.hit.camera.pip
0E2ACCFA47B782B062CC324704C1F999796F5045D9753423CF7238FE4CABBFA8 com.daynight.keyboard.wallpaper
50D498755486D3739BE5D2292A51C7C3D0ADA6D1A37C89B669A601A324794B06 com.super.star.ringtones

URLs

d37i64jgpubcy4.cloudfront.net

d1ag96m0hzoks5.cloudfront.net

dospxvsfnk8s8.cloudfront.net

d45wejayb5ly8.cloudfront.net

d3u41fvcv6mjph.cloudfront.net

d3puvb2n8wcn2r.cloudfront.net

d8fkjd2z9mouq.cloudfront.net

d22g8hm4svq46j.cloudfront.net

d3i3wvt6f8lwyr.cloudfront.net

d1w5drh895wnkz.cloudfront.net





Enlace a la noticia original