¡Tener cuidado! Los piratas informáticos apuntan a los usuarios con una aplicación falsa de registro de la vacuna COVID-19


¿Ha recibido un SMS con un enlace que dice "Regístrese para recibir la vacuna usando la aplicación COVID-19"?

Bueno, ¡cuidado! Es falso y probablemente esté plagado de malware.

El gobierno de la India comenzó con la campaña de vacunación COVID-19 para todas las personas mayores de 18 años, pero los consumidores enfrentan problemas para reservar un lugar debido a la escasez de vacunas. Para que el proceso sea fácil de usar, varios desarrolladores crearon sitios web de notificación que pueden informarle la disponibilidad de las ranuras, aunque aún debe usar la plataforma de registro oficial CoWIN API para completar las formalidades.

En medio de tal crisis, los piratas informáticos se están aprovechando de la situación con elementos maliciosos. Hay un SMS falso en circulación que engaña a los usuarios desprevenidos para que se registren en la vacuna a través de una aplicación. El SMS es principalmente un enlace malicioso lleno de Android Worm que llega a los usuarios a través de la aplicación de mensajes y les pide que se registren en la aplicación "Registro de vacunas". Una vez que el usuario descarga la aplicación, solicita permiso para acceder a todos los contactos y mensajes. Luego, el gusano usa los contactos enumerados en el dispositivo Android infectado para propagarse a otros dispositivos a través de mensajes de texto.

¿Cómo funciona el malware troyano?

Fig.1: Página web maliciosa

La figura 1 de la página web anterior muestra cómo los piratas informáticos engañan a los usuarios para que descarguen una aplicación para el registro de vacunación para los grupos de más de 18 años. Pero en realidad, descarga un APK malicioso después de hacer clic en el botón "Descargar ahora". El APK malicioso está alojado en la cuenta de GitHub y tenemos algunas aplicaciones similares con un nombre de aplicación diferente. Puede encontrar el enlace de la cuenta de GitHub aquí. Al monitorear esta campaña, obtuvimos otras cuentas de GitHub, que también albergan APK similares como se muestra en la Figura 2 y la Figura 3.

Fig2: cuenta de GitHub projectpro1 con APK malicioso

Fig3: Mybestnews de la cuenta de GitHub con APK malicioso

En el primer lanzamiento, la aplicación toma algunos permisos sospechosos como acceder al contacto, enviar y ver SMS, hacer una llamada, etc. La Fig. 4 muestra los permisos que solicita la aplicación de registro de vacunas falsas.

Fig 4 Aplicación de registro de vacunas falsa.

Análisis técnico:

La aplicación de malware realiza algunas comprobaciones que se muestran en la Fig. 5 como, emulador, ADB habilitado o no, comprobación del depurador. También recopila información sobre todas las aplicaciones instaladas en el dispositivo infectado.

Fig 5: Verificación de ADB y depurador

Primero, solicita el número de teléfono móvil para el registro. Pero al hacer clic en el botón Registrarse ahora, solo verifica la longitud del número de móvil ingresado. Si no es mayor que igual a 4 caracteres (como se muestra en la Fig. 6) o si tiene menos de 4 caracteres, muestra un mensaje "¡Por favor ingrese su número correcto!"

Fig 6: Comprobación del número de móvil

Difusión a través de SMS:

El malware recopila información de contacto del dispositivo infectado.

Fig 7: Recopilación de contactos

El malware se dirige solo a los operadores de Jio y se propaga a los contactos que utilizan la tarjeta SIM de Jio. Para identificar al usuario de Jio, el malware verifica los primeros 4 caracteres del número de teléfono móvil con la lista de números que atiende Jio. En segundo lugar, consulta una API web pública de Jio y verifica la respuesta. Debajo de la fig. 8 muestra la comprobación de números Jio.

Fig 8: Comprobación de los primeros 4 caracteres del número.

Fig 9: verificando la respuesta de la API web

Los números no identificados se verifican consultando una API web pública de Jio como se muestra en la Fig.9. En respuesta, busca la cadena NOT_SUBSCRIBED_USER. Y si la respuesta contiene un número de móvil, entonces se considera un número Jio. Después de identificar el número Jio, lo recopila en una lista separada y comienza a enviar SMS usando el operador de SIM predeterminado como se muestra en la Fig.10.

Fig 10: Envío de SMS

Difundir a través de WhatsApp:

El malware no se propaga automáticamente a través de WhatsApp. Muestra un cuadro de diálogo de "Comparta esta aplicación en grupos de WhatsApp 10 veces para iniciar el registro" que se muestra en la figura 11.

Fig 11: Malware que se propaga a través de WhatsApp

Al hacer clic en el botón "Compartir en WhatsApp", el malware copia el mensaje en el portapapeles. El malware no valida si el mensaje se comparte en WhatsApp o no. Solo cuenta el número de clics en "Compartir en WhatsApp". La figura 12 y la figura 13 muestran el código para compartir de WhatsApp.

El mensaje compartido en los grupos de WhatsApp:

Regístrese para obtener la vacuna ahora * n * a partir de los 18 años * n n * No se cobrarán tarifas. * N * Es absolutamente gratis. * N n * Descargue la aplicación para Android VacciRegis * n * y regístrese para recibir la vacuna * n * en India * n n * Enlace: * http (:) // tiny.cc/COVID-VACCINE

Fig 12: Difusión a través de WhatsApp

Fig 13: Finalización del intercambio de mensajes en WhatsApp

El objetivo principal de la aplicación es generar ingresos mostrando anuncios y difundiéndose a través de la lista de contactos de la víctima y a través de SMS. En Quick Heal, hemos recopilado múltiples variantes de esta aplicación maliciosa y todas se detectan con el nombre "Android.GoodNews.GEN41898". Todas estas aplicaciones maliciosas están firmadas con el mismo certificado digital, lo que significa que el malware está escrito por un solo autor de malware.

IOC

Nombre del paquete MD5
com.halorozd.meditation e9eb39d8880a1a04acc538bb717dc337
com.oncamra.sevendra 36dfa9f4c7cf017b2dcae2b67230245a
com.pappucantt.projectdance 0c926ad8904f1e1d0bccda18f04722da
com.oncamra.sevendra 17e3294f7bfd7e5b1fdb50465471e1db
com.projectchav.dudupiva f570647c6b761aeddf644d46dcb675d9
com.parthhingu.meditation f504cfe44d9a6a0bfe6c5bf7c29c6a13
com.readyfor.whosbaby 5c04e41a3d2a00b3c9336788d9ce4835
com.projectchav.dudupiva 1335d286d70a93cfd888fb3a362ab54e
com.projectchav.dudupiva 8c217585671eec3d7979be4895c3c070
com.rahul.bhuvolund 1601470a832a633fe3027ef3518bdbfd

Cómo mantenerse a salvo de aplicaciones móviles falsas

    • Verifique la descripción de una aplicación antes de descargarla de Google Play Store.
    • Verifique el nombre del desarrollador de la aplicación y su sitio web. Si el nombre suena extraño o extraño, tiene todas las razones para sospecharlo.
    • Revisa las reseñas y calificaciones de la aplicación. Pero tenga en cuenta que estos también pueden ser falsificados.
    • Evite descargar aplicaciones de tiendas de aplicaciones de terceros.
    • Siempre revise su sistema y aplicaciones actualizadas o no.
    • Utilice un antivirus móvil confiable que pueda evitar que se instalen aplicaciones falsas y maliciosas en su teléfono.
    • Utilice un antivirus móvil confiable como Seguridad móvil Quick Heal para Android que puede evitar que se instalen aplicaciones falsas y maliciosas en su teléfono.
    • No haga clic en enlaces desconocidos compartidos en plataformas de redes sociales, incluso si los comparten sus contactos de confianza.

Vaibhav Billade

Vaibhav Billade