Algunos servicios de acortador de URL distribuyen malware de Android, incluidos troyanos bancarios o SMS


En iOS, hemos visto servicios de acortador de enlaces que envían archivos de calendario de spam a los dispositivos de las víctimas.

Esperamos que ya sepa que no debe hacer clic en cualquier URL. Es posible que le envíen uno en un mensaje; alguien podría insertar uno debajo de una publicación en las redes sociales o se le podría proporcionar uno en prácticamente cualquier sitio web. Los usuarios o sitios web que proporcionan estos enlaces pueden utilizar servicios de acortador de URL. Estos se utilizan para acortar URL largas, ocultar nombres de dominio originales, ver análisis sobre los dispositivos de los visitantes o, en algunos casos, incluso monetizar sus clics.

La monetización significa que cuando alguien hace clic en dicho enlace, se mostrará un anuncio, como los ejemplos de la Figura 1, que generará ingresos para la persona que generó la URL abreviada. El problema es que algunos de estos servicios de acortador de enlaces utilizan técnicas publicitarias agresivas como los anuncios scareware: informar a los usuarios que sus dispositivos están infectados con malware peligroso, indicar a los usuarios que descarguen aplicaciones poco fiables de la tienda Google Play o participar en encuestas sospechosas, ofrecer contenido para adultos , ofreciendo iniciar suscripciones a servicios de SMS premium, habilitando notificaciones del navegador y haciendo ofertas dudosas para ganar premios.

Incluso hemos visto servicios de acortadores de enlaces que envían archivos de "calendario" a dispositivos iOS y distribuyen malware de Android; de hecho, descubrimos una pieza de malware que llamamos Android / FakeAdBlocker, que descarga y ejecuta cargas útiles adicionales (como troyanos bancarios, troyanos SMS, y software publicitario agresivo) recibido de su servidor C&C.

A continuación, describimos las descargas de creación de eventos de calendario de iOS y cómo recuperarse de ellas, antes de dedicar la mayor parte de la publicación del blog a un análisis detallado de la distribución de Android / FakeAdBlocker y, según nuestra telemetría, su alarmante número de detecciones. Este análisis se centra principalmente en la funcionalidad de la carga útil del adware y, dado que puede crear eventos de calendario de spam, hemos incluido una breve guía que detalla cómo eliminarlos automáticamente y desinstalar Android / FakeAdBlocker de los dispositivos comprometidos.

Figura 1. Ejemplos de anuncios agresivos turbios

Distribución

El contenido que se muestra a la víctima de los acortadores de enlaces monetizados puede diferir según el sistema operativo en ejecución. Por ejemplo, si una víctima hace clic en el mismo enlace en un dispositivo Windows y en un dispositivo móvil, se mostrará un sitio web diferente en cada dispositivo. Además de los sitios web, también podrían ofrecer a un usuario de dispositivo iOS la descarga de un archivo de calendario ICS, o al usuario de un dispositivo Android descargar una aplicación de Android. La Figura 2 describe las opciones que hemos visto en la campaña analizada aquí.

Figura 2. Proceso de distribución de malware

Si bien algunos anuncios y aplicaciones de Android servidas por estos enlaces abreviados monetizados son legítimos, observamos que la mayoría conduce a comportamientos sospechosos o no deseados.

Objetivos de iOS

En los dispositivos iOS, además de inundar a las víctimas con anuncios no deseados, estos sitios web pueden crear eventos en los calendarios de las víctimas descargando automáticamente un archivo ICS. Como muestran las capturas de pantalla en la Figura 3, las víctimas primero deben tocar el botón de suscripción para enviar spam a sus calendarios con estos eventos. Sin embargo, el nombre del calendario “Haga clic en Aceptar para continuar (sic)” no revela el contenido real de esos eventos del calendario y solo engaña a las víctimas para que presionen el botón Suscribirse y listo.

Estos eventos del calendario informan falsamente a las víctimas de que sus dispositivos están infectados con malware, con la esperanza de inducir a las víctimas a hacer clic en los enlaces incrustados, lo que conduce a más anuncios de scareware.

Figura 3. El sitio web fraudulento solicita al usuario que se suscriba a los eventos del calendario en la plataforma iOS
Objetivos de Android

Para las víctimas en dispositivos Android, la situación es más peligrosa porque estos sitios web fraudulentos inicialmente pueden proporcionar a la víctima una aplicación maliciosa para descargar y luego proceder a visitar o descargar el contenido esperado real buscado por el usuario.

Hay dos escenarios para los usuarios de Android que observamos durante nuestra investigación. En el primero, cuando la víctima quiere descargar una aplicación de Android que no sea de Google Play, hay una solicitud para habilitar las notificaciones del navegador desde ese sitio web, seguida de una solicitud para descargar una aplicación llamada adBLOCK app.apk. Esto podría crear la ilusión de que esta aplicación adBLOCK bloqueará los anuncios mostrados en el futuro, pero ocurre lo contrario. Esta aplicación no tiene nada que ver con la aplicación adBLOCK legítima disponible en una fuente oficial.

Cuando el usuario toca el botón de descarga, el navegador se redirige a un sitio web diferente donde aparentemente se le ofrece al usuario una aplicación de bloqueo de anuncios llamada adBLOCK, pero termina descargando Android / FakeAdBlocker. En otras palabras, el toque o clic de la víctima es secuestrado y utilizado para descargar una aplicación maliciosa. Si la víctima vuelve a la página anterior y toca el mismo botón de descarga, el archivo legítimo correcto que la víctima buscaba se descarga en el dispositivo. Puede ver uno de los ejemplos en el video a continuación.

(incrustar) https://www.youtube.com/watch?v=ps2QS0Oquos (/ incrustar)

En el segundo escenario de Android, cuando las víctimas quieren continuar con la descarga del archivo solicitado, se les muestra una página web que describe los pasos para descargar e instalar una aplicación con el nombre Su archivo está listo para descargar.apk. Este nombre es obviamente engañoso; el nombre de la aplicación intenta que el usuario piense que lo que se está descargando es la aplicación o un archivo al que desea acceder. Puede ver la demostración en el video a continuación.

(incrustar) https://www.youtube.com/watch?v=iogUoGf1RxY (/ incrustar)

En ambos casos, se envía un anuncio de scareware o el mismo troyano Android / FakeAdBlocker a través del servicio de acortador de URL. Dichos servicios emplean el Pagado por hacer clic (PTC) modelo de negocio y actuar como intermediarios entre clientes y anunciantes. El anunciante paga por mostrar anuncios en el sitio web de PTC, donde parte de ese pago se destina a la parte que creó el enlace abreviado. Como se indica en uno de estos sitios web de acortamiento de enlaces en la sección de política de privacidad, estos anuncios son a través de sus socios publicitarios y no son responsables del contenido entregado ni de los sitios web visitados.

Uno de los servicios de acortador de URL establece en sus términos de servicio que los usuarios no deben crear enlaces abreviados para transmitir archivos que contengan virus, spyware, adware, troyanos u otro código dañino. Al contrario, hemos observado que sus socios publicitarios lo están haciendo.

Telemetría

Según nuestros datos de detección, Android / FakeAdBlocker fue detectado por primera vez en septiembre de 2019. Desde entonces, lo hemos estado detectando bajo varios nombres de amenazas. Desde principios de este año hasta el 1 de julio, hemos visto más de 150.000 instancias de esta amenaza descargadas en dispositivos Android.

Figura 4. Telemetría de detección de ESET para Android / FakeAdBlocker

Figura 5. Los diez países principales por proporción de detecciones de Android / FakeAdBlocker (1 de enero – 1 de julio de 2021)

Análisis de Android / FakeAdBlocker

Después de descargar e instalar Android / FakeAdBlocker, el usuario puede darse cuenta de que, como se ve en la Figura 6, tiene un ícono blanco en blanco y, en algunos casos, incluso no tiene nombre de aplicación.

Figura 6. Icono de la aplicación de Android / FakeAdBlocker

Después de su lanzamiento inicial, este malware decodifica un archivo codificado en base64 con un .dat extensión que se almacena en los activos del APK. Este archivo contiene información del servidor C&C y sus variables internas.

Figura 7. Archivo de configuración decodificado de los activos APK

Desde su servidor C&C solicitará otro archivo de configuración. Esto tiene una carga útil binaria incorporada, que luego se extrae y se carga dinámicamente.

Figura 8. Android / FakeAdBlocker descarga una carga adicional

Para la mayoría de los ejemplos que hemos observado, esta carga útil era responsable de mostrar anuncios fuera de contexto. Sin embargo, en cientos de casos, se descargaron y ejecutaron diferentes cargas útiles maliciosas. Según nuestra telemetría, el servidor C&C devolvió diferentes cargas útiles según la ubicación del dispositivo. La Troyano bancario Cerberus se descargó en dispositivos en Turquía, Polonia, España, Grecia e Italia. Se disfrazó como Chrome, Android Update, Adobe Flash Player, Update Android o la aplicación Google Guncelleme (guencelleme significa "actualización" en turco, por lo que el nombre de la aplicación es Google Update). En Grecia también hemos visto la Troyano bancario Ginp siendo descargado. La misma variante de la familia de malware del troyano SMS se distribuyó en Oriente Medio. Además de estos troyanos, Laboratorios Bitdefender también identificó el TeaBot (también conocido como Anatsa) troyano bancario descargado como carga útil por Android / FakeAdBlocker. Las cargas útiles se descargan en el almacenamiento de medios externos en el subdirectorio de archivos del nombre del paquete de la aplicación principal utilizando varios nombres de aplicaciones. Se incluye una lista de nombres de APK de carga útil en el IoC sección.

El hecho emergente de que el servidor C&C puede distribuir en cualquier momento diferentes cargas útiles maliciosas hace que esta amenaza sea impredecible. Dado que ya se han analizado todos los troyanos mencionados anteriormente, continuaremos con el análisis de la carga útil del adware que se distribuyó a más del 99% de las víctimas. La carga útil del adware tiene muchas similitudes de código con el descargador, por lo que clasificamos a ambos en la misma familia de malware Android / FakeAdBlocker.

Aunque las cargas útiles se descargan en segundo plano, la víctima es informada sobre las acciones que ocurren en el dispositivo móvil mediante la actividad que se muestra y dice que el archivo se está descargando. Una vez que todo está configurado, la carga útil del adware Android / FakeAdBlocker le pide a la víctima permiso para dibujar sobre otras aplicaciones, lo que luego dará como resultado la creación de notificaciones falsas para mostrar anuncios en primer plano y permiso para acceder al calendario.

Figura 9. Actividad mostrada después del inicio

Figura 10. Solicitud de permiso para controlar lo que se muestra en primer plano

Figura 11. Solicitud de permiso para editar eventos del calendario

Una vez que se habilitan todos los permisos, la carga útil comienza silenciosamente a crear eventos en Google Calendar para los próximos meses.

Figura 12. Eventos de calendario de scareware creados por malware (arriba) y detalle (abajo)

Crea dieciocho eventos que ocurren todos los días, cada uno de ellos dura 10 minutos. Sus nombres y descripciones sugieren que el teléfono inteligente de la víctima está infectado, que los datos del usuario están expuestos en línea o que una aplicación de protección antivirus ha caducado. Las descripciones de cada evento incluyen un enlace que lleva a la víctima a visitar un sitio web de publicidad de scareware. Ese sitio web nuevamente afirma que el dispositivo ha sido infectado y ofrece al usuario descargar aplicaciones más limpias de Google Play.

Figura 13. Títulos y descripciones de los eventos (izquierda) y el recordatorio que muestra uno de ellos (derecha)

Todos los nombres de los títulos de los eventos y sus descripciones se pueden encontrar en el código del malware. Aquí están todos los textos de eventos de scareware creados por el malware, literalmente. Si encuentra uno de estos en su Calendario de Google, es o probablemente haya sido víctima de esta amenaza.
⚠ ¡Los piratas informáticos pueden intentar robar sus datos!
Bloquee anuncios, virus y ventanas emergentes en YouTube, Facebook, Google y sus sitios web favoritos. HAGA CLIC EN EL VÍNCULO DE ABAJO PARA BLOQUEAR TODOS LOS ANUNCIOS

⚠ SU Dispositivo puede estar infectado con UN VIRUS ⚠
Bloquee anuncios, virus y ventanas emergentes en YouTube, Facebook, Google y sus sitios web favoritos. HAGA CLIC EN EL VÍNCULO DE ABAJO PARA BLOQUEAR TODOS LOS ANUNCIOS

☠️Se han encontrado virus severos recientemente en dispositivos Android
Bloquee anuncios, virus y ventanas emergentes en YouTube, Facebook, Google y sus sitios web favoritos. HAGA CLIC EN EL VÍNCULO DE ABAJO PARA BLOQUEAR TODOS LOS ANUNCIOS

🛑 ¿Tu teléfono no está protegido? ¡Haga clic para protegerlo!
¿Estamos en 2021 y no has encontrado la forma de proteger tu dispositivo? Haga clic a continuación para solucionar este problema.

⚠ ¿La protección antivirus de Android ha expirado? Renovar para 2021
Todos hemos escuchado historias sobre personas que se expusieron a malware y exponen sus datos en riesgo. No seas tonto, ¡protégete ahora haciendo clic a continuación!

⚠ ¡Puede ser expuesto en línea, haga clic para arreglar!
Los piratas informáticos pueden verificar dónde vive al verificar la IP de su dispositivo mientras está en casa. Protéjase instalando una VPN. Protéjase haciendo clic a continuación.

✅ ¡Limpia tu dispositivo de ataques maliciosos!
Su dispositivo no es invencible a los virus. Asegúrese de que esté libre de infecciones y evite futuros ataques. ¡Haga clic en el enlace de abajo para comenzar a escanear!

⚠ Alerta de virus: verifique la protección AHORA
Los piratas informáticos y prácticamente cualquier persona que lo desee puede verificar dónde vive ingresando a su dispositivo. Protéjase haciendo clic a continuación.

☠️ ¡¿Virus en su dispositivo ?! LIMPIARLOS AHORA
¿Estamos en 2021 y no has encontrado la forma de proteger tu dispositivo? Haga clic a continuación para solucionar este problema.

🛡️ ¡Haga clic AHORA para proteger sus datos invaluables!
Su identidad y otra información importante se pueden robar fácilmente en línea sin la protección adecuada. VPN puede evitar efectivamente que eso suceda. Haga clic a continuación para aprovechar la protección necesaria.

⚠ ¡Está expuesto en línea, haga clic para solucionarlo!
Los piratas informáticos pueden verificar dónde vive al verificar la IP de su dispositivo mientras está en casa. Protéjase instalando una VPN. Protéjase haciendo clic a continuación.

🧹 Limpie su teléfono de posibles amenazas, haga clic ahora.
Conectarse le expone a varios riesgos, incluidos piratería informática y otras actividades fraudulentas. VPN lo protegerá de estos ataques. Asegure su navegación en línea haciendo clic en el enlace a continuación.

🛑 ¡Su teléfono no está protegido! ¡Haga clic para protegerlo!
¿Es 2021 y no has encontrado la forma de proteger tu iPhone? Haga clic a continuación para solucionar este problema.

⚠ SU Dispositivo puede estar infectado con UN VIRUS ⚠
Bloquee anuncios, virus y ventanas emergentes en YouTube, Facebook, Google y sus sitios web favoritos. HAGA CLIC EN EL VÍNCULO DE ABAJO PARA BLOQUEAR TODOS LOS ANUNCIOS

⚠ ¡Puede ser expuesto en línea, haga clic para arreglar!
Los piratas informáticos pueden verificar dónde vive al verificar la IP de su dispositivo mientras está en casa. Protéjase instalando una VPN. Protéjase haciendo clic a continuación.

☠️Se han encontrado virus severos recientemente en dispositivos Android
Bloquee anuncios, virus y ventanas emergentes en YouTube, Facebook, Google y sus sitios web favoritos. HAGA CLIC EN EL VÍNCULO DE ABAJO PARA BLOQUEAR TODOS LOS ANUNCIOS

☠️ ¡¿Virus en su dispositivo ?! LIMPIARLOS AHORA
¿Estamos en 2021 y no has encontrado la forma de proteger tu dispositivo? Haga clic a continuación para solucionar este problema.

⚠ ¿La protección antivirus de Android ha expirado? Renovar para 2021
Todos hemos escuchado historias sobre personas que se expusieron a malware y exponen sus datos en riesgo. No seas tonto, ¡protégete ahora haciendo clic a continuación!

Además de inundar el calendario con eventos fraudulentos, Android / FakeAdBlocker también muestra aleatoriamente anuncios en pantalla completa dentro del navegador móvil, muestra notificaciones de scareware y anuncios para adultos, y muestra una "burbuja" similar a Messenger en primer plano que imita un mensaje recibido con un texto fraudulento. junto a él.

Figura 14. Ejemplos de anuncios de scareware mostrados

Hacer clic en cualquiera de estos llevaría al usuario a un sitio web con más contenido de scareware que sugiere que la víctima instale limpiadores o eliminadores de virus de Google Play. Ya hemos escrito sobre similares aplicaciones sospechosas que se hacen pasar por software de seguridad en 2018.

Proceso de desinstalación

Para identificar y eliminar Android / FakeAdBlocker, incluida su carga útil de adware cargada dinámicamente, primero debe encontrarlo entre sus aplicaciones instaladas, yendo a Configuración  Aplicaciones. Debido a que el malware no tiene un icono ni un nombre de aplicación (consulte la Figura 15), debería ser fácil de detectar. Una vez ubicado, tóquelo una vez para seleccionarlo y luego toque el botón Desinstalar y confirme la solicitud para eliminar la amenaza.

Figura 15. Desinstalación manual de malware

Cómo eliminar automáticamente los eventos de spam

La desinstalación de Android / FakeAdBlocker no eliminará los eventos de spam que creó en su calendario. Puede eliminarlos manualmente; sin embargo, sería un trabajo tedioso. Esta tarea también se puede realizar automáticamente mediante una aplicación. Durante nuestras pruebas, eliminamos con éxito todos estos eventos utilizando una aplicación gratuita disponible en la tienda Google Play llamada Limpieza de calendario. Un problema con esta aplicación es que solo elimina eventos pasados. Por eso, para eliminar los próximos eventos, cambie temporalmente la hora y la fecha actuales en la configuración del dispositivo para que sea el día posterior al último evento de spam creado por el malware. Eso haría que todos estos eventos caduquen y Calendar Cleanup pueda eliminarlos automáticamente.

Es importante señalar que esta aplicación elimina todos los eventos, no solo los creados por el malware. Por eso, debe seleccionar cuidadosamente el rango de días objetivo.

Una vez que haya terminado el trabajo, asegúrese de restablecer la fecha y la hora actuales.

Conclusión

Según nuestra telemetría, parece que muchos usuarios tienden a descargar aplicaciones de Android desde fuera de Google Play, lo que podría llevarlos a descargar aplicaciones maliciosas entregadas a través de prácticas publicitarias agresivas que se utilizan para generar ingresos para sus autores. Identificamos y demostramos este vector de distribución en los videos anteriores. Android / FakeAdBlocker descarga cargas útiles maliciosas proporcionadas por el servidor C&C de su operador; en la mayoría de los casos, después del lanzamiento, estos se ocultan de la vista del usuario, ofrecen scareware no deseado o anuncios de contenido para adultos y crean eventos de calendario de spam para los próximos meses. Confiar en estos anuncios de scareware podría costarles dinero a sus víctimas, ya sea mediante el envío de mensajes SMS con tarifas especiales, la suscripción a servicios innecesarios o la descarga de aplicaciones adicionales y, a menudo, maliciosas. Además de estos escenarios, identificamos varios troyanos bancarios de Android y troyanos SMS que se están descargando y ejecutando.

IoC

Picadillo Nombre de la detección
B0B027011102B8FD5EA5502D23D02058A1BFF1B9 Android / FakeAdBlocker.A
E51634ED17D4010398A1B47B1CF3521C3EEC2030 Android / FakeAdBlocker.B
696BC1E536DDBD61C1A6D197AC239F11A2B0C851 Android / FakeAdBlocker.C

C y C

emanalyst (.) biz
mmunitedaw (.) información
ommunite (.) arriba
club de rycovernmen (.)
ransociatelyf (.) información
club de esquemas (.)
omeoneha (.) en línea
sityinition (.) arriba
fceptthis (.) biz
oftongueid (.) en línea
honeiwillre (.) biz
eaconhop (.) en línea
ssedonthep (.) biz
fjobiwouldli (.) biz
offeranda (.) biz

Rutas de archivo de cargas útiles descargadas

/storage/emulated/0/Android/data/com.intensive.sound/files/Download/updateandroid.apk
/storage/emulated/0/Android/data/com.intensive.sound/files/Download/Chrome05.12.11.apk
/storage/emulated/0/Android/data/com.intensive.sound/files/Download/XXX_Player.apk
/storage/emulated/0/Android/data/com.confidential.pottery/files/Download/Google_Update.apk
/storage/emulated/0/Android/data/com.confidential.pottery/files/Download/System.apk
/storage/emulated/0/Android/data/com.confidential.pottery/files/Download/Android-Update.5.1.apk
/storage/emulated/0/Android/data/com.cold.toothbrush/files/Download/Android_Update.apk
/storage/emulated/0/Android/data/com.cold.toothbrush/files/Download/chromeUpdate.apk
/storage/emulated/0/Android/data/com.cold.toothbrush/files/Download/FreeDownloadVideo.apk
/storage/emulated/0/Android/data/com.anaconda.brave/files/Download/MediaPlayer.apk
/storage/emulated/0/Android/data/com.anaconda.brave/files/Download/GoogleChrome.apk
/storage/emulated/0/Android/data/com.dusty.bird/files/Download/Player.apk

Técnicas MITRE ATT & CK

Esta mesa fue construida usando versión 9 del marco ATT & CK.

Táctica IDENTIFICACIÓN Nombre Descripción
Acceso inicial T1476 Entregar aplicaciones maliciosas a través de otros medios Android / FakeAdBlocker se puede descargar desde sitios web de terceros.
T1444 Enmascarar como aplicación legítima Android / FakeAdBlocker se hace pasar por una aplicación legítima de AdBlock.
Persistencia T1402 Receptores de difusión Android / FakeAdBlocker escucha la transmisión BOOT_COMPLETED, lo que garantiza que la funcionalidad de la aplicación se active cada vez que se inicie el dispositivo.
T1541 Persistencia en primer plano Android / FakeAdBlocker muestra notificaciones transparentes y anuncios emergentes.
Evasión de defensa T1407 Descargar código nuevo en tiempo de ejecución Android / FakeAdBlocker descarga y ejecuta un archivo APK desde un servidor adversario malicioso.
T1406 Archivos o información ofuscados Android / FakeAdBlocker almacena archivos codificados en base64 en activos que contienen archivos de configuración con el servidor C&C.
T1508 Suprimir el icono de la aplicación El icono de Android / FakeAdBlocker está oculto a la vista de la víctima.
Colección T1435 Acceder a las entradas del calendario Android / FakeAdBlocker crea eventos de scareware en el calendario.
Comando y control T1437 Protocolo de capa de aplicación estándar Android / FakeAdBlocker se comunica con C&C a través de HTTPS.
Impacto T1472 Genere ingresos por publicidad fraudulenta Android / FakeAdBlocker genera ingresos al mostrar anuncios automáticamente.



Enlace a la noticia original