Pueden robarle sus credenciales bancarias


Nadie había esperado un nuevo capítulo de la actual pandemia devoradora de vidas. La gente pasó de una situación a otra, y también lo hizo la tendencia del malware. Se desarrollaron varias aplicaciones en diferentes países y estados para facilitar la gestión y el seguimiento de los casos de COVID-19. En Quick Heal Security Labs, hemos estado rastreando dichas aplicaciones para identificar aplicaciones con malware que hacen un mal uso de las aplicaciones oficiales destinadas a facilitar la vida de las personas y las autoridades.

Como se mencionó en nuestro blog anterior, varias aplicaciones de Arogya Setu se encontraron maliciosas. Los autores de malware hacen uso de aplicaciones que ya se han lanzado y siguen escabulléndose de las declaraciones actuales hechas por las autoridades con respecto a las aplicaciones que se utilizarán para el registro de vacunas. Se encontró una aplicación similar y se mencionó en el blog anterior con respecto a la aplicación co-ganadora. Ha salido a la luz una nueva aplicación maliciosa con el mismo propósito, junto con otra aplicación que estaba destinada a verificar el nivel de saturación de oxígeno de una persona.

Troyano disfrazado de aplicación de oxímetro benigna

Se encuentran dos aplicaciones similares que imitan la aplicación legítima de registro de oxímetro y vacunas, como se menciona en Karnataka Tweet de DGP la semana pasada. Se encontraron aplicaciones de oxímetro falsas que tomaron datos de huellas dactilares del usuario para Google Pay, PhonePe, Paytm, etc. Esta aplicación está hecha de la misma manera. Solicita contactos y permisos de SMS, lo que parece innecesario para una aplicación que verificaría el nivel de saturación de oxígeno. Accede a los contactos y envía un enlace a cada contacto en el sistema a través de SMS y mensaje de WhatsApp, que está alojado en alguna megacuenta que al descargar resulta ser un troyano-banquero bancario.

Trucos de derivación y distribución de inspección

Los autores de malware están evolucionando con sus técnicas todos los días. Una de las cosas esenciales para el éxito del malware es la distribución. Para los usuarios de Android, Google Play Store es el mercado más buscado para obtener aplicaciones gratuitas y de pago, y ahí es donde se encuentra el objetivo efectivo. Los autores de malware aplican diferentes trucos para eludir las restricciones de Google Play Store. Algunos de los trucos utilizados para publicar aplicaciones y distribuir a través de otros medios específicos son:

  1. Los autores usan firebase para iniciar funciones maliciosas antes y después de que se publique la aplicación. Firebase es un producto de Google que se vuelve menos sospechoso en sus actividades.
  2. Los autores usan GitHub y megacuentas para implementar sus cargas útiles.
  3. Los autores utilizan diferentes mercados de aplicaciones y repositorios para distribuir su malware además de Google Play, por ejemplo, Koodous, QooApp, Huawei AppGallery, Apkpure y muchos más. Las personas que quieren ciertas aplicaciones eliminadas de Play Store van a repositorios, como Apkpure, Apkmirror y Koodous, y se topan con malware.

Análisis técnico

Fig.1 Solicitar contactos y enviar permisos de SMS

El método onCreate solicita permisos y llama al método "sendO2toContacts", que es el método malicioso que lleva a cabo la actividad adicional.

Fig.2 Método de llamada sendO2toContacts

sendO2toContacts llama a un método "getAllContacts" que recopila todos los números de contacto del sistema. Luego obtiene un enlace para SMS y WhatsApp e itera sobre una serie de contactos y llama a los métodos que envían esos enlaces a través de SMS y WhatsApp.

Fig.3 Función de controlador para actividad maliciosa

La función sendO2ViaSMS devuelve un hash bas64 decodificado que decodifica a "hxxps: // mega (.) nz / file / Zhh0RSJQ # 81GUF7ruoEv9itdyh_kswLlBYWoAe0TwMLt4MTM9V4g"

Higo.4 Malicioso Enlace

Visitar este enlace nos lleva a la página de mega (.) Nz que tiene un archivo APK listo para descargar.

Fig.5 Troyano bancario

Aunque podemos ver que el nombre de la aplicación es Comprobador de saturación de oxígeno.apk en realidad es un archivo "pamdemicdestek.apk" y Quick Heal lo detecta por el nombre Android.Anubis.GEN30551.

  • El método SendO2ViaWhatsApp devuelve el mismo enlace que el texto del mensaje formateado correctamente para ser enviado usando la API de WhatsApp en el formato “hxxps: //api.whatsapp.com/send? Phone = + 91xxxxxxxxxx & text = link”.

Fig.6 Devolución del enlace de la API de WhatsApp formateado

La función SendViaSMS recibe el número y el mensaje que se enviará a cada contacto del sistema.

Fig.7 envío de enlace SMS

Del mismo modo, el método de envío a través de WhatsApp obtiene el mensaje de la API de WhatsApp elaborado e inicia la actividad.

Fig.8 Envío de enlace de troyano a través de WhatsApp

Indicador de compromiso
Nombre del paquete MD5
com.body.saturation.vaccineregistration 682280287f8d0f53f57e35ec47d9d873
com.body.saturation.oximetero2 84684e063b664aa2d1b8c5441d1fb1b9

Cómo mantenerse a salvo

  • Descargue aplicaciones solo de fuentes confiables como Google Play Store.
  • Aprenda a identificar aplicaciones falsas en Google Play Store
  • No haga clic en enlaces extraños recibidos a través de mensajes o cualquier otra plataforma de redes sociales.
  • Desactivar la instalación desde la opción de fuente desconocida
  • Lea los mensajes emergentes que recibe del sistema Android antes de Aceptar / Permitir nuevos permisos.
  • Los desarrolladores malintencionados falsifican los nombres de las aplicaciones y los desarrolladores originales. Por lo tanto, asegúrese de descargar solo aplicaciones originales. A menudo, las descripciones de las aplicaciones contienen errores tipográficos y gramaticales. Consulte el sitio web del desarrollador si hay un enlace disponible en la página web de la aplicación. Evite usarlo si algo se ve extraño o extraño.
  • Las reseñas y calificaciones pueden ser falsas, pero leer las reseñas de los usuarios de la aplicación y la experiencia de los usuarios existentes puede ser útil. Preste atención a las reseñas con calificaciones bajas.
  • Verifique el recuento de descargas de la aplicación: las aplicaciones populares tienen recuentos de descargas muy altos. Pero tenga en cuenta que algunas aplicaciones falsas se han descargado miles o incluso millones de veces antes de ser descubiertas.
  • Evite descargar aplicaciones de tiendas de aplicaciones de terceros o enlaces proporcionados en SMS, correos electrónicos o mensajes de WhatsApp. Además, evite instalar aplicaciones que se descargan después de hacer clic en un anuncio.
  • Utilice un antivirus confiable como Quick Heal Mobile Security para mantenerse a salvo del malware de Android.

Ankit Vishwakarma

Ankit Vishwakarma