Aparece un nuevo troyano de Android

Recientemente hemos observado ataques dirigidos contra activistas uygures y tibetanos que empleaban plataformas Windows y Mac OS X, cuyas herramientas de propagación consistían en archivos ZIP además de DOC, XLS y documentos en PDF plagados de agujeros de seguridad.

Hace algunos días, la cuenta de correo electrónico de un activista tibetano relevante ha sido hackeada y usada para enviar ataques dirigidos contra el resto de compañeros activistas y otros defensores de los derechos humanos. Pero esto no es nada nuevo, lo que llama la atención aquí es que los emails empleados para atacar llevan adjunto un .APK, o paquete instalador, de Android.

Detalles

El día 24 de marzo de 2013, la cuenta de correo de un activista tibetano importante fue vulnerada y está siendo empleada para dirigir ataques tipo "spear phishing" contra su lista de contactos. Debemos explicar que muchos grupos de activistas han organizado recientemente una conferencia de derechos humanos en Génova. Hemos visto cómo han aumentado los ataques que perseguían engañar al usuario con este supuesto.

Volviendo al paquete de Android (APK) que viene adjunto al email, lo que este presenta es una aplicación llamada WUC´s Conference.apk.

El paquete malicioso tiene un tamaño de 334326 bytes, cuyo MD5 es: 0b8806b38b52bebfe39ff585639e2ea2 y es detectado por el producto antivirus de Kaspersky como "Backdoor.AndroidOS.Chuli.a".

Después de la instalación, una aplicación llamada "Conference" (conferencia) aparece en el escritorio. Cuando la víctima arranca el programa, se mostrará la información del supuesto evento.

El texto que veréis a continuación es el que muestra la aplicación. Podemos observar que de forma errónea confunden el término “Word” en lugar de “World”:

En nombre de todos en el Word Uyghur Congress (WUC), la Unrepresented Nations and Peoples Organization (UNPO) y la Society for Threatened Peoples (STP), Derechos Humanos en China: Implicaciones para East Turkestan, Tíbet y Mongolia Meridional. En lo que fue una reunión sin precedentes de destacados activistas uygures, mongoles, tibetanos y chinos, así como otros destacados expertos internacionales, nos sentimos profundamente agradecidos por el gran entusiasmo, las contribuciones y el deseo de todos los asistentes de hacer de esta ocasión algo significativo, cuyo resultado produjo algunas soluciones concretas orientadas a la acción para nuestras quejas compartidas. Nos complace especialmente la plataforma y el programa de trabajo establecidos en la declaración de la conferencia, sobre los que sinceramente esperamos construir una relación de trabajo fuerte y resuelta en nuestros objetivos compartidos para el futuro. Con esto en mente, esperamos con interés trabajar con ustedes en estos asuntos.

Dolkun lsa

Chairman of the Executive Committee
Word Uyghur Congress

Mientras la víctima lee el mensaje falso, el malware contenido ya está informando de la infección a su centro de "comando y control" o C2. Después, este empieza a recopilar información del dispositivo, lo que incluye:

• Contactos (tanto los de la tarjeta SIM como los del teléfono)
• Registro de llamadas
• Mensajes SMS
• Geo-localización
• Datos del teléfono (número, versión de sistema operativo, modelo, versión SDK)

Es importante señalar que estos datos no serán enviados al servidor C2 automáticamente. El troyano espera a que entre un SMS ("alarmReceiver.class") y comprueba si estos mensajes contienen uno de los siguientes parámetros: "sms", "contacto", "lugar", "otro". Si se encuentra uno de estos comandos, el malware codificará los datos robados con Base64 y los enviará al servidor de comando y control. La url de este C2 es:

hxxp://64.78.161.133/*victims′s_cell_phone_number*/process.php

Además de esto, el malware enviará otro script, hxxp://64.78.161.33/android.php. Primero conseguirá la variable "número nativo" del valor "telmark" situado en "AndroidManifest.xml". Esto es igual al número de teléfono. Después, añade el resultado al método público "localDate.getTime()", que simplemente añade la fecha y hora actuales. Un ejemplo de cadena resultante es "teléfono 26.03.2013".

Resulta interesante que los atacantes empleen la librería Java Base 64 desarrollada por Sauron Software. Es un software gratuito y libre distribuido bajo licencia LGPL.

También se aprecia que, en las comunicaciones entre el centro de control y el malware, se incluye la función denominada "chuli()" antes de transmitir los datos robados al servidor. Parece ser que los atacantes están de alguna forma familiarizados con el lenguaje y la cultura de montaña-escalada de los objetivos; la palabra chuli significa "cumbre" o "cima".

El centro de Comando y Control

El servidor que ejerce estas funciones tiene asignada la IP 64.78.161.133. Esta IP está situada en Los Angeles, U.S.A. y alojada en una compañía de hosting llamada Emagine Concept Inc.

Resulta interesante comprobar uno de los dominios que apuntan al servidor, DlmDocumentsExchange.com. El dominio fue registrado el día 8 de marzo de 2013:

Registration Service Provided By: SHANGHAI MEICHENG TECHNOLOGY INFORMATION DEVELOPMENT CO., LTD.
Domain Name: DLMDOCUMENTSEXCHANGE.COM
Registration Date: 08-Mar-2013
Expiration Date: 08-Mar-2014
Status: LOCKED
The domain registration data indicates the following owner:
Registrant Contact Details:
peng jia
peng jia ( [email protected])
beijingshiahiidienquc.d
beijingshi
beijing,100000
CN
Tel. +86.01078456689
Fax. +86.01078456689

Conclusiones finales

Cada día aparecen cientos, si no miles, de ataques dirigidos contra simpatizantes de la causa tibetana o uygur. Muchos de los ataques observados están dirigidos contra el sistema operativo Windows e intentan explotar las vulnerabilidades CVE-2012-0158, CVE-2010-3333 y CVE-2009-3129 descubiertas en documentos de Microsoft Word.

Por ahora la mejor opción es no abrir paquetes .APK que lleguen a dispositivos Android vía e-mail. El malware es detectado como Backdoor.AndroidOS.Chuli.a por Kaspersky antivirus.

Programas PC y software para acelerar el pc en nuestra web Mejor Antivirus