Aparece un Nuevo Troyano de Android

Os contamos hoy en que consiste el enésimo ataque dirigido contra las minorías uygures y tibetanas -vecinas de China- y todo apunta a que el gigante asiático está detrás. Un troyano adjunto a emails llega a través de plataformas Android.

Sergio Méndez Galindo
Sergio Méndez Galindo
28 de March · 906 palabras.
x

🕘 Resumen

Se han detectado recientemente ataques dirigidos contra activistas uygures y tibetanos, utilizando plataformas Windows y Mac OS X y documentos que contienen agujeros de seguridad.

La cuenta de correo electrónico de un activista tibetano fue hackeada y usada para lanzar ataques dirigidos contra otros activistas y defensores de derechos humanos. Lo llamativo es que los correos electrónicos maliciosos contenían un archivo .APK de Android adjunto.

Este archivo malicioso contiene una aplicación llamada "WUC's Conference.apk", que muestra información sobre un supuesto evento. Después de la instalación, una aplicación llamada "Conference" aparece en el escritorio de la víctima.

El archivo malicioso tiene un tamaño de 334326 bytes y es detectado por el antivirus de Kaspersky como "Backdoor.AndroidOS.Chuli.a". Los ataques tienen como objetivo engañar al usuario para que abra el archivo adjunto y luego infectar su sistema.

Los ataques se han multiplicado recientemente debido a la organización de una conferencia de derechos humanos en Génova. Es importante estar alerta ante este tipo de correos electrónicos y tener instalado un software antivirus actualizado.

Recientemente hemos observado ataques dirigidos contra activistas uygures y tibetanos que empleaban plataformas Windows y Mac OS X, cuyas herramientas de propagación consistían en archivos ZIP además de DOC, XLS y documentos en PDF plagados de agujeros de seguridad.

Hace algunos días, la cuenta de correo electrónico de un activista tibetano relevante ha sido hackeada y usada para enviar ataques dirigidos contra el resto de compañeros activistas y otros defensores de los derechos humanos. Pero esto no es nada nuevo, lo que llama la atención aquí es que los emails empleados para atacar llevan adjunto un .APK -o paquete instalador- de Android.

Detalles

El día 24 de Marzo de 2013, la cuenta de correo de un activista tibetano importante fue vulnerada y está siendo empleada para dirigir ataques tipo "spear phishing" contra su lista de contactos. Debemos explicar que muchos grupos de activistas han organizado recientemente una conferencia de derechos humanos en Génova. Hemos visto como han aumentado los ataques que perseguían engañar al usuario con este supuesto.

Volviendo al paquete de Android (APK) que viene adjunto al email, lo que este presenta es una aplicación llamada "WUC´s Conference.apk".

El paquete malicioso tiene un tamaño de 334326 bytes, cuyo MD5 es: 0b8806b38b52bebfe39ff585639e2ea2 y es detectado por el producto antivirus de Kaspersky como "Backdoor.AndroidOS.Chuli.a"

Después de la instalación, una aplicación llamada "Conference" (conferencia) aparece en el escritorio.
Cuando la víctima arranca el programa, se mostrará la información del supuesto evento.

El texto que veréis a continuación es el que muestra la aplicación. Podemos observar que forma errónea confunden el término “Word” en lugar de “World”:

"On behalf of all at the Word Uyghur Congress (WUC), the Unrepresented Nations and Peoples Organization (UNPO) and the Society for Threatened Peoples (STP), Human Rights in China: Implications for East Turkestan, Tibet and Southern Mongolia
In what was an unprecedented coming-together of leading Uyghur, Mongolian, Tibetan and Chinese activists, as well as other leading international experts, we were greatly humbled by the great enthusiasm, contribution and desire from all in attendance to make this occasion something meaningful, the outcome of which produced some concrete, action-orientated solutions to our shared grievances. We are especially delighted about the platform and programme of work established in the declaration of the conference, upon which we sincerely hope will be built a strong and resolute working relationship on our shared goals for the future. With this in mind,we thoroughly look forward to working with you on these matters.
Dolkun lsa

Chairman of the Executive Committee
Word Uyghur Congress"


Mientras la víctima lee el mensaje falso, el malware contenido ya está informando de la infección a su centro de "comando y control" o C2. Después, este empieza a recopilar información del dispositivo, lo que incluye:


Contactos (tanto los de la tarjeta SIM como los del teléfono)
Registro de llamadas.
Mensajes SMS
Geo-localización
Datos del teléfono (número, versión de Sistema Operativo, modelo, versión SDK)

Es importante señalar que estos datos no serán enviados al servidor C2 automáticamente. El troyano espera a que entre un SMS ("alarmReceiver.class") y comprueba si estos mensajes contienen uno de los siguiente parámetros: "sms", "contacto", "lugar", "otro". Si se encuentra uno de estos comandos, el malware codificará los datos robados con "Base64" y los enviará al servidor de comando y control. La url de este C2 es:

hxxp://64.78.161.133/*victims′s_cell_phone_number*/process.php

Además de esto, el malware enviará otro script, "hxxp://64.78.161.33/android.php". Primero conseguirá la variable "número nativo" del valor "telmark" situado en "AndroidManifest.xml". Esto es igual al número de teléfono. Después, añade el resultado al método publico "localDate.getTime()", que simplemente añade la fecha y hora actuales. Un ejemplo de cadena resultante es "teléfono 26.03.2013".

Resulta interesante que los atacantes empleen la librería Java Base 64 desarrollada por Sauron Software. Es un software gratuito y libre distribuído bajo licencia LGPL.

También se aprecia que, en las comunicaciones entre el centro de control y el malware, se incluye la función denominada "chuli()" antes de transmitir los datos robados al servidor. Parece ser que los atacantes están de alguna forma familiarizados con el lenguaje y la cultura de montaña-escalada de los objetivos -la palabra chuli significa "cumbre" o "cima".

El centro de Comando y Control

El servidor que ejerce estas funciones tiene asignada la IP 64.78.161.133. Esta IP está situada en Los Angeles, U.S.A. y alojada en una compañía de hosting llamada "Emagine Concept Inc".

Resulta interesante comprobar uno de los dominios que apuntan al servidor, "DlmDocumentsExchange.com". El dominio fué registrado el día 8 de Marzo de 2013:

Registration Service Provided By: SHANGHAI MEICHENG TECHNOLOGY INFORMATION DEVELOPMENT CO., LTD.
Domain Name: DLMDOCUMENTSEXCHANGE.COM
Registration Date: 08-Mar-2013
Expiration Date: 08-Mar-2014
Status:LOCKED
The domain registration data indicates the following owner:
Registrant Contact Details:
peng jia
peng jia ( [email protected])
beijingshiahiidienquc.d
beijingshi
beijing,100000
CN
Tel. +86.01078456689
Fax. +86.01078456689


Conclusiones finales


Cada día aparecen cientos (sino miles) de ataques dirigidos contra simpatizantes de la causa tibetana o Uygur. Muchos de los ataques observados están dirigidos contra el sistema operativo Windows e intentan explotar las vulnerabilidades CVE-2012-0158, CVE-2010-3333 y CVE-2009-3129 descubiertas en documentos de Microsoft Word.

Por ahora la mejor opción es no abrir paquetes .APK que lleguen a dispositivos Android vía e-mail. El malware es detectado como "Backdoor.AndroidOS.Chuli.a" por Kaspersky antivirus.

Programas PC y software para acelerar el pc en nuestra web Mejor Antivirus

Comparte tu conocimiento y tus intereses con el mundo.

Publica un artículo →