Curiosity, el nuevo gusano de Android

Lejos de la realidad, el “Curiosity” al que se refiere al título, nada tiene que ver con ninguna misión espacial "murciana". Esta vez, se trata de un nuevo gusano para Android que en la actualidad está alcanzando un gran número de infecciones.

Gracias a Koodous hemos conseguido una muestra y hemos procedido a un análisis del mismo

https://koodous.com/rulesets/1906/apks

En la actualidad ya hay hasta 11 muestras que cumplen la regla Yara creada para la detección de Curiosity.

Si analizamos el comportamiento de Curiosity vemos que una vez infecta a la víctima obtiene una lista de todos los contactos registrados en el teléfono y se autoenvía a través de enlaces en SMSs y phishing. Esto le ha permitido conseguir distribuirse rápidamente en diferentes dispositivos y crear una amplia red de infecciones.

Este malware, actúa de la siguiente manera:

• Una vez instalado, se establece como aplicación de SMS por defecto.
• Intercepta los mensajes recibidos por el usuario.
• Elimina el número del que recibirá la comunicación de la lista negra, para poder establecer contacto.
• Aprovecha el servicio de Push de Google (C2DN) para las comunicaciones SMS o llamadas.
• Colecciona la información del usuario, mensajes, contactos, modelo del teléfono, historial del navegador, aplicaciones instaladas, marcadores… (Se verá más en detalle a continuación).
• Toma el control sobre las llamadas, tanto para realizarlas como para colgar el teléfono al usuario.
• Toda esta información es posteriormente enviada a un servidor remoto (atacante).

La curiosidad mató al robot

Observamos cómo se cumplen los comportamientos anteriores. Primero comprueba si es la aplicación por defecto para el envió de SMS, de lo contrario se establecerá como tal:

Y el comportamiento referente a la lectura de los mensajes entrantes, podemos observarlo a continuación…

Como "anécdota", el creador de esta aplicación dejó su presunta dirección de correo electrónico a la vista para recibir los reportes de fallos en su aplicación (Y así poder mejorarla a futuro).

Los primeros permisos que solicita, se pueden ver a continuación:

private static final String[] INITIAL_PERMS = {
"android.permission.ACCESS_FINE_LOCATION",
"android.permission.ACCESS_COARSE_LOCATION",
"android.permission.CALL_PHONE", "android.permission.SEND_SMS",
"android.permission.READ_SMS", "android.permission.READ_CONTACTS",
"android.permission.WRITE_CONTACTS",
"android.permission.READ_CALENDAR",
"android.permission.WRITE_CALENDAR" };

También, gracias al "descuido" por parte del autor de este Malware, contamos no solo con el servidor al que se conecta sino, que observamos que cuenta con una API que utiliza para comunicarse.

Además, si observamos dicha URL, podemos ver cómo enmascara la página principal…

Ninguna de las funcionalidades de la web es operacional, salvo el login… (Y la API)

Esta API, ofrece funcionalidad el control de las llamadas, de las cuales almacena toda la información disponible, quién llamó, cuánto duró..:

Además del control sobre las llamadas, también facilita el envío al atacante de información como contactos, SMS almacenados, historial de llamadas grabadas...

Entre los mensajes utilizados para distribuirse, encontramos uno de ellos en español, por lo que es posible que este troyano se distribuya por países hispano-parlantes: El mensaje en español empleado para su propagación es 

"Hola   He encontrado aquí sus fotos privadas
http://bit.ly/XXXXX
clic para ver".

Además de otros idiomas que podemos observar en la captura mostrada a continuación:

También comprobamos como roba más información: IMEI, modelo, sistema operativo, red conectada, teléfono, país…

Como recomendación ante este tipo de amenazas, que se distribuyen a través de SMS es no visitar enlaces desconocidos que lleguen (especialmente, si desconocemos quién nos envía el mensaje), evitar la instalación de aplicaciones fuera del Market oficial y la instalación de Koodous desde Google Play:

https://play.google.com/store/apps/details?id=com.koodous.android

Fernando Díaz

fdiaz@hispasec.com