El malware de phishing para Android se dirige a los contribuyentes en la India | Blogs de McAfee


Escrito by ChanUng Pak

El equipo de investigación móvil de McAfee descubrió recientemente un nuevo malware de Android, Elibomi, dirigido a los contribuyentes de la India. El malware roba información financiera y privada confidencial a través de suplantación de identidad pretendiendo ser una aplicación de declaración de impuestos. Hemos identificado dos campañas principales que utilizaron diferentes temas de aplicaciones falsas para atraer a los contribuyentes. La primera campaña de noviembre de 2020 fingió ser una solicitud de certificado de TI falsa, mientras que la segunda campaña, vista por primera vez en mayo de 2021, utilizó el tema de la declaración de impuestos falsa. Con este descubrimiento, el equipo de McAfee Mobile Research ha podido actualizar McAfee Mobile Security para que detecte esta amenaza como Android / Elibomi y avise a los usuarios móviles si este malware está presente en sus dispositivos.

Durante nuestra investigación, descubrimos que en la última campaña, el malware se distribuye mediante un ataque de phishing por SMS. El mensaje SMS pretende ser del Departamento de Impuestos sobre la Renta de la India y utiliza el nombre del usuario objetivo para hacer que el ataque de phishing por SMS sea más creíble y aumentar las posibilidades de infectar el dispositivo. La aplicación falsa utilizada en esta campaña está diseñada para capturar y robar información personal y financiera confidencial de la víctima al engañar al usuario haciéndole creer que es una aplicación legítima para la presentación de declaraciones de impuestos.

También descubrimos que Elibomi expone la información confidencial robada a cualquier persona en Internet. Los datos robados incluyen direcciones de correo electrónico, números de teléfono, mensajes SMS / MMS, entre otra información financiera y de identificación personal. McAfee ha informado de los servidores que exponen los datos y, en el momento de la publicación de este blog, la información expuesta ya no está disponible.

Fingiendo ser una aplicación del Departamento de Impuestos sobre la Renta en India

La última y más reciente campaña de Elibomi utiliza un tema de aplicación de presentación de impuestos falsa y pretende ser del Departamento de Impuestos sobre la Renta del gobierno de la India. Incluso usan el logotipo original para engañar a los usuarios para que instalen la aplicación. Los nombres de los paquetes (identificadores únicos de aplicaciones) de estas aplicaciones falsas consisten en una palabra aleatoria + otra cadena aleatoria + imobile (por ejemplo, "direct.uujgiq.imobile" y "olayan.aznohomqlq.imobile"). Como se mencionó anteriormente, esta campaña ha estado activa desde al menos mayo de 2021.

Figura 1. Aplicación falsa de iMobile que pretende ser del Departamento de Impuestos sobre la Renta y solicita permisos de SMS

Una vez que se otorgan todos los permisos requeridos, Elibomi intenta recopilar información personal como la dirección de correo electrónico, el número de teléfono y los mensajes SMS / MMS almacenados en el dispositivo infectado:

Figura 2. Elibomi robando mensajes SMS

Prevención y defensa

Estas son nuestras recomendaciones para evitar verse afectados por esta y otras amenazas de Android que utilizan la ingeniería social para convencer a los usuarios de que instalen malware disfrazado de aplicaciones legítimas:

  • Tenga una aplicación de seguridad confiable y actualizada como McAfee Mobile Security instalada en sus dispositivos móviles para protegerlo contra esta y otras aplicaciones maliciosas.
  • No haga clic en enlaces sospechosos recibidos de mensajes de texto o redes sociales, especialmente de fuentes desconocidas. Siempre verifique por otros medios si un contacto que envía un enlace sin contexto fue realmente enviado por esa persona porque podría conducir a la descarga de una aplicación maliciosa.

Conclusión

Android / Elibomi es solo otro ejemplo de la efectividad de los ataques de phishing personalizados para engañar a los usuarios para que instalen una aplicación maliciosa incluso cuando el propio Android evita que eso suceda. Al pretender ser una aplicación de "impuesto sobre la renta" del gobierno de la India, Android / Elibomi ha podido recopilar información personal y financiera muy confidencial y privada de los usuarios afectados que podría utilizarse para realizar fraudes de identificación y / o financieros. Aún más preocupante, la información no solo estaba en manos de los ciberdelincuentes, sino que también fue expuesta inesperadamente en Internet, lo que podría tener un mayor impacto en las víctimas. Mientras los ataques de ingeniería social sigan siendo efectivos, esperamos que los ciberdelincuentes continúen evolucionando sus campañas para engañar a más usuarios con diferentes aplicaciones falsas, incluidas las relacionadas con los servicios financieros y fiscales.

McAfee Mobile Security detecta esta amenaza como Android / Elibomi y alerta a los usuarios móviles si está presente. Para obtener más información sobre McAfee Mobile Security, visite https://www.mcafeemobilesecurity.com

Para aquellos interesados ​​en profundizar en nuestra investigación …

Método de distribución y datos robados expuestos en Internet

Durante nuestra investigación, encontramos el principal método de distribución de la última campaña en uno de los mensajes SMS robados expuestos en uno de los servidores C2. El campo del cuerpo del SMS en la captura de pantalla siguiente muestra el ataque Smishing utilizado para entregar el malware. Curiosamente, el mensaje incluye el nombre de la víctima para que el mensaje sea más personal y, por lo tanto, más creíble. También insta al usuario a hacer clic en un enlace sospechoso con la excusa de verificar una actualización urgente sobre la declaración de la renta de la víctima:

Figura 3. La información expuesta incluye el ataque de suplantación de identidad (phishing) por SMS utilizado para entregar originalmente el malware.

Elibomi no solo expone los mensajes SMS robados, sino que también captura y expone la lista de todas las cuentas registradas en los dispositivos infectados:

Figura 4. Ejemplo de información de cuenta expuesta en uno de los servidores C2

Si el usuario objetivo hace clic en el enlace del mensaje de texto, se mostrará una página de phishing que pretende ser del Departamento de Impuestos sobre la Renta del gobierno de la India, que se dirige al usuario por su nombre para hacer que el ataque de phishing sea más creíble:

Figura 5. Página falsa de phishing de archivos electrónicos que pretende ser del Departamento de Impuestos sobre la Renta de la India

Cada usuario objetivo tiene una aplicación diferente. Por ejemplo, en la captura de pantalla a continuación, tenemos la aplicación "cisco.uemoveqlg.imobile" a la izquierda y "komatsu.mjeqls.imobile" a la derecha:

Figura 6. Diferentes aplicaciones maliciosas para diferentes usuarios

Durante nuestra investigación, descubrimos que existen varias variantes de Elibomi para la misma aplicación de impuestos sobre la renta falsa de iMobile. Por ejemplo, algunas aplicaciones de iMobile solo tienen la página de inicio de sesión, mientras que en otras tienen la opción de "registrarse" y solicitar un reembolso de impuestos falso:

Figura 7. Pantallas falsas de iMobile diseñadas para capturar información personal y financiera

La información financiera confidencial proporcionada por el usuario engañado también se expone en Internet:

Figura 8. Ejemplo de información financiera expuesta robada por Elibomi usando una aplicación falsa de presentación de impuestos

Aplicaciones de certificados de TI falsos relacionados

La primera campaña de Elibomi que pretendía ser una aplicación falsa de "Certificado de TI" se distribuyó en noviembre de 2020. En la siguiente figura podemos ver las similitudes en el código entre las dos campañas de malware:

Figura 9. Similitud de código entre campañas de Elibomi

La aplicación maliciosa se hizo pasar por un módulo de gestión de certificados de TI que se utiliza a propósito para validar el dispositivo en un servidor de verificación inexistente. Al igual que la versión más reciente de Elibomi, esta aplicación ITCertificate falsa solicita permisos de SMS pero también solicita privilegios de administrador del dispositivo, probablemente para dificultar su eliminación. La aplicación maliciosa también simula un "Escaneo de seguridad", pero en realidad lo que está haciendo en segundo plano es robar información personal como correo electrónico, número de teléfono y mensajes SMS / MMS almacenados en el dispositivo infectado:

Figura 10. Aplicación falsa de ITCertificate que pretende hacer un escaneo de seguridad mientras roba datos personales en segundo plano

Al igual que con la campaña "iMobile" más reciente, este "ITCertificate" falso también expone los datos robados en uno de los servidores C2. A continuación, se muestra un ejemplo de un mensaje SMS robado que utiliza los mismos campos de registro y estructura que la campaña "iMobile":

Figura 11. El mensaje SMS es robado por el "ITCertificate" falso utilizando la misma estructura de registro que "iMobile"

Interesante técnica de ofuscación de cuerdas

Los ciberdelincuentes detrás de estas dos piezas de malware diseñaron una técnica de ofuscación de cadenas simple pero interesante. Todas las cadenas se decodifican llamando a diferentes clases y cada clase tiene un valor de tabla completamente diferente

Figura 12. Llamar al método de desofuscación con diferentes parámetros

Figura 13. Método de desenmascaramiento de cadenas

Figura 14. Tabla de eliminación de ofuscación de cadenas

El algoritmo es un cifrado de sustitución simple. Por ejemplo, 35 se reemplaza con "h" y 80 se reemplaza con "t" para ofuscar la cadena.

Apéndice – Datos técnicos y IOC

Picadillo Nombre del paquete
1e8fba3c530c3cd7d72e208e25fbf704ad7699c0a6728ab1b290c645995ddd56 direct.uujgiq.imobile
7f7b0555563e08e0763fe52f1790c86033dab8004aa540903782957d0116b87f ferrero.uabxzraglk.imobile

120a51611a02d1d8bd404bb426e07959ef79e808f1a55ce5bff33f04de1784ac erni.zbvbqlk.imobile

ecbd905c44b1519590df5465ea8acee9d3c155334b497fd86f6599b1c16345ef olayan.bxynrqlq.imobile

da900a00150fcd608a09dab8a8ccdcf33e9efc089269f9e0e6b3daadb9126231 foundation.aznohomqlq.imobile
795425dfc701463f1b55da0fa4e7c9bb714f99fecf7b7cdb6f91303e50d1efc0 fresenius.bowqpd.immobile
b41c9f27c49386e61d87e7fc429b930f5e01038d17ff3840d7a3598292c935d7 cisco.uemoveqlg.immobile
8de8c8c95fecd0b1d7b1f352cbaf839cba1c3b847997c804dfa2d5e3c0c87dfe komatsu.mjeqls.imobile
ecbd905c44b1519590df5465ea8acee9d3c155334b497fd86f6599b1c16345ef olayan.bxynrqlq.imobile
326d81ba7a715a57ba7aa2398824b420fff84cda85c0dd143462300af4e0a37a alstom.zjeubopqf.certificate
154cfd0dbb7eb2a4f4e5193849d314fa70dcc3caebfb9ab11b4ee26e98cb08f7 alstom.zjeubopqf.certificate
c59ecd344729dac99d9402609e248c80e10d39c4d4d712edef0df9ee460fbd7b alstom.zjeubopqf.certificate
16284cad1b5a36e2d2ea9f67f5c772af01b64d785f181fd31d2e2bec2d98ce98 alstom.zjeubopqf.certificate
98fc0d5f914ae47b61bc7b54986295d86b502a9264d7f74739ca452fac65a179 alstom.zjeubopqf.certificate
32724a3d2a3543cc982c7632f40f9e831b16d3f88025348d9eda0d2dfbb75dfe

computer.yvyjmbtlk.transferInstant





Enlace a la noticia original