¡Alerta! El malware Wormable para Android se está propagando a través de aplicaciones de redes sociales


Respuesta automática es una función conveniente a través de la cual los usuarios pueden enviar un mensaje personalizado como una respuesta automática para correos electrónicos entrantes, SMS, mensajes de WhatsApp y más sin respuesta. Hay muchas aplicaciones en Google Play Store que ofrecen esta funcionalidad.

Recientemente, hemos notado aplicaciones maliciosas que abusan de esta funcionalidad en particular.

Fig 1. Contenido utilizado para propagar malware

La figura 1 destaca ejemplos de mensajes utilizados por los atacantes para atraer a los usuarios a instalar aplicaciones maliciosas. En muchos casos, estos mensajes provienen de un contacto de confianza (que ya está infectado). Como resultado, es probable que los usuarios consideren el mensaje legítimo y sigan los pasos mencionados. En este caso, el mensaje solicita a los usuarios que abran un enlace web y descarguen una aplicación. Para atraer aún más a los usuarios, el sitio web muestra ofertas lucrativas como Free Netflix, mira Free IPL, Nueva función en WhatsApp. (Consulte la figura 2)

Fig.2 Sitio de alojamiento de aplicaciones

Recientemente, analizamos dos aplicaciones que se están propagando a través de este mecanismo: "WhatsApp Pink" y "Transmisión en línea".

Fig.3 Iconos

Una vez instaladas, estas aplicaciones solicitan acceso a notificaciones. Después de obtener el permiso, la aplicación oculta su icono a los usuarios.

Fig.4 Solicitar acceso a notificaciones

Estas aplicaciones mantienen una lista a la que apuntan para las respuestas automáticas de aplicaciones como Facebook, Instagram, WhatsApp, Twitter, Telegram, Skype, Viber, etc. Hasta ahora, hemos visto dos variantes de listas (consulte la Figura 5). Estas aplicaciones tienen otra matriz de cadenas que tiene mensajes de texto con un enlace para descargar las aplicaciones. Una de las cadenas de mensajes se selecciona al azar en tiempo de ejecución.

Fig.5 Lista de objetivos

Después de obtener acceso a las notificaciones, siempre que se recibe una nueva notificación, se llama a la función de devolución de llamada onNotificationPosted. En este método, se comprueba el nombre del paquete de la aplicación.

Hay una verificación adicional para la acción de respuesta directa de notificaciones de Android (la acción de respuesta directa, introducida en Android 7.0 (nivel de API 24)), que permite a los usuarios ingresar texto directamente en la notificación.

Fig.6 devolución de llamada de función onNotificationPosted

En onNotificationPosted al acceder a esta acción, en lugar de la entrada del usuario, este malware llena una intención con sus propios datos de texto usando RemoteInput.addResultsToIntent método.

Fig.7 Envío del mensaje

Mismo actor Detrás de estas dos variantes:

Quick Heal ha recopilado 6 muestras de la aplicación WhatsApp Pink y 4 muestras de la aplicación de transmisión en línea. Todas estas aplicaciones están firmadas con el mismo certificado. Eso probablemente significa que el mismo autor (o autores) de malware está detrás de estas aplicaciones maliciosas.

Fig.8 Información del certificado

Por ahora, estas aplicaciones tienen funcionalidades para ocultar íconos, monitorear notificaciones y responder automáticamente. En el futuro, pueden desarrollar una nueva variante y agregar más funciones maliciosas.

COI Sitios de alojamiento
a8a687abf84271d181358374666b4f1b h ** p: // pinkapp (.) xyz /? whatsapp
e1870d613d54239e8fb5f09b6a4e880d h ** p: // lookpink (.) xyz /? whatsapp
d13d3eeaf8db5515577cc9b390fefbc9 h ** p: // colorpink (.) xyz /? whatsapp
9a902d186c948e72af6b269862c27055 h ** p: // pinklook (.) profileviewz (.) com / WhatsappPink.apk
h ** p: // whatsapp (.) profileviewz (.) com / WhatsappPink.apk
90cfcde60b6cd57a2e9b2047cff51fb7 h ** p: // whatsapp (.) wwwy (.) xyz / WhatsappPink.apk
2ca849e5913aa3fd47db7b381db6ad24 h ** p: // looknew (.) xyz /? whatsapp
00d45a3846a90d7bd0d021447101efb6
3fa23903a9fa6f7d504f99e272c0d997
h ** p: // streamapp (.) club /? netflix
2f0b61ef74e87b0aea52871d1bb4efb0 h ** p: // mobilestream (.) club /? netflix
E1af660c6c71ad191749755aa057aef7 h ** p: // lista de perfiles (.) xyz /? transmisión en vivo

Siga las siguientes pautas para mantenerse seguro:

  • Descargue siempre aplicaciones de fuentes legítimas como Google Play y App Store, ya que estas tiendas son relativamente seguras.
  • No haga clic en enlaces desconocidos compartidos en plataformas de redes sociales, incluso si los comparten sus contactos de confianza.
  • Si hizo clic en dicho enlace compartido e instaló la aplicación, desinstálela yendo a Configuración >> Lista de aplicaciones >> busque el nombre de la aplicación (para estas dos variantes, busque Transmisión en línea y WhatsApp (ícono rosa) y desinstale la aplicación)
  • Tenga mucho cuidado con las aplicaciones que descarga en su teléfono.
  • Para una mayor protección de su teléfono, utilice siempre un buen antivirus como Seguridad móvil Quick Heal para Android.

Melena de Digvijay

Melena de Digvijay