Al FBI no le importa mucho que veas porno

El uso de Koodous en el Laboratorio se ha extendido como la mejor herramienta para la detección de nuevas muestras de malware. Hace un año aproximadamente comenzamos a detectar un tipo de malware que suplantaba la imagen del FBI, evidentemente, con no muy buenas intenciones. Una de las grandes ventajas que ofrece Koodous a la comunidad de investigadores es la generación de reglas Yara que permiten monitorizar, y detectar, la aparición de nuevo malware; así que en su momento generamos una regla Yara para controlar su expansión. En la actualidad, más de un año después, todavía sigue dando buenos resultados. 

Por esta razón vamos a explicar un poco cómo funciona. Para ello emplearemos la muestra más reciente de esta familia para analizarla. En este caso el nombre lo dice todo (hay que recordar que "Internet is for porn"). Se trata de esta:

https://koodous.com/apks/79b4ecbc6b0a0703ceb6e83cb533346f0436eeedf97f7adf672595696a5ff7dc

Como analistas de malware las formas de enfrentarse a una nueva muestras pasan por las realización de análisis estáticos y dinámico. El propio Koodous ya nos da un avance de lo que puede llegar a pasar. Gracias a los análisis dinámicos que realiza nos informa que el malware se conecta a dos URLs 

y nos informa de los permisos que requiere.

Aquí ya podemos ver algunos permisos que hacer saltar las alarmas.

En este punto cabe señalar el SYSTEM_ALERT_WINDOW que ya nos da un indicio de lo que va a pasar al ejecutar la aplicación. Este permiso permite a una aplicación crear ventanas con el tipo TYPE_SYSTEM_ALERT, mostrándola por encima de otras aplicaciones.

Tras estas pruebas, es necesario ver cómo actúa de cara al usuario y confirmar los informes de Koodous. Para ello realizamos un análisis dinámico sobre una máquina virtual y lo primero que vemos es que, efectivamente, la muestra se conecta a dos URLs varias veces.

La primera de ellas es http://promotld[dot]biz/api2/time.php?data=null&rnd=XXX, donde XXX es un número aleatorio en cada petición. La segunda conexión que realiza es a http://wnimmf5cxs[dot]pornfre18x[dot]review/zz/ que devuelve un error 404 sin contenido. Esta última página es la que se muestra cuando se arranca la aplicación inicialmente.

Después la aplicación se hace esperar 3 minutos (180.000 milisegundos),

Para después mostrar la siguiente pantalla:

Una pantalla que sin duda nos recuerda a las ya habituales de cualquier ransomware. Cómo olvidar el clásico "virus de la policía". Y como no podía ser menos, es eso lo que pasa. Esta pantalla no nos permite salir al menú de navegación normal, bloquea el móvil y no te deja usarlo. Hemos probado los habituales "trucos" para salir pero no hemos conseguido nada efectivo, incluso tras reiniciar el móvil se abre muy rápido. Como es habitual pide una recompensa económica por liberar el móvil, en este caso de 500 dólares.

Lo único que permite es navegar por el menú inferior que muestra, para mostrar diferentes ventanas para hacer el pago con tarjetas de crédito, información de nuestro teléfono que supuestamente ha sido enviada al FBI y el “marco legal” por el que se realiza esta acción, supuestamente "PRISM":

Una vez hemos visto cómo actúa de cara al usuario es necesario asociar cada uno de los estados al código estático. En primer lugar localizamos el código donde se abre la página web (que recordemos, en nuestro caso no existe, así que lanza un error 404).

Vemos que el diseñador del malware la ha definido en el AndroidManifest.xml y posteriormente la ha usado en el MainActivity para abrir un WebView y mostrarla:

En intervalos aleatorios el malware visita una página web que construye con diferentes cadenas, posiblemente para evitar su detección sin un análisis dinámico. Para ello utiliza el siguiente código:

Además, el malware también toma imágenes con la cámara frontal para "asustar" aún más al usuario del teléfono:

Aunque el malware bloquea el teléfono impidiendo su uso, en esta ocasión en ningún momento cifra ningún archivo del teléfono ni lo envía al exterior. Lo único que hace es mostrar las pantallas que hemos enseñado anteriormente con información del usuario para atemorizarlo y hacerlo pagar.

Para prevenir la instalación de este tipo de malware recomendamos las medidas habituales, como evitar repositorios alternativos, comprobar los permisos de las aplicaciones y la instalación de Koodous desde Google Play:

https://play.google.com/store/apps/details?id=com.koodous.android

Antonio Sánchez

asanchez@hispasec.com