jueves, 13 de octubre de 2016

Curiosity, el nuevo gusano de Android

Lejos de la realidad, el “Curiosity” al que se refiere al título, nada tiene que ver con ninguna misión espacial "murciana". Esta vez, se trata de un nuevo gusano para Android que en la actualidad está alcanzando un gran número de infecciones.

Gracias a Koodous hemos conseguido una muestra y hemos procedido a un análisis del mismo
En la actualidad ya hay hasta 11 muestras que cumplen la regla Yara creada para la detección de Curiosity.

Si analizamos el comportamiento de Curiosity vemos que una vez infecta a la víctima obtiene una lista de todos los contactos registrados en el teléfono y se autoenvía a través de enlaces en SMSs y phishing. Esto le ha permitido conseguir distribuirse rápidamente en diferentes dispositivos y crear una amplia red de infecciones.

Este malware, actúa de la siguiente manera:
  • Una vez instalado, se establece como aplicación de SMS por defecto.
  • Intercepta los mensajes recibidos por el usuario.
  • Elimina el número del que recibirá la comunicación de la lista negra, para poder establecer contacto.
  • Aprovecha el servicio de Push de Google (C2DN) para las comunicaciones SMS o llamadas.
  • Colecciona la información del usuario, mensajes, contactos, modelo del teléfono, historial del navegador, aplicaciones instaladas, marcadores… (Se verá más en detalle a continuación).
  • Toma el control sobre las llamadas, tanto para realizarlas como para colgar el teléfono al usuario.
  • Toda esta información es posteriormente enviada a un servidor remoto (atacante).




La curiosidad mató al robot

Observamos cómo se cumplen los comportamientos anteriores. Primero comprueba si es la aplicación por defecto para el envió de SMS, de lo contrario se establecerá como tal:


Y el comportamiento referente a la lectura de los mensajes entrantes, podemos observarlo a continuación…




Como "anécdota", el creador de esta aplicación dejó su presunta dirección de correo electrónico a la vista para recibir los reportes de fallos en su aplicación (Y así poder mejorarla a futuro).


Los primeros permisos que solicita, se pueden ver a continuación:

private static final String[] INITIAL_PERMS = {
"android.permission.ACCESS_FINE_LOCATION",
"android.permission.ACCESS_COARSE_LOCATION",
"android.permission.CALL_PHONE", "android.permission.SEND_SMS",
"android.permission.READ_SMS", "android.permission.READ_CONTACTS",
"android.permission.WRITE_CONTACTS",
"android.permission.READ_CALENDAR",
"android.permission.WRITE_CALENDAR" };


También, gracias al "descuido" por parte del autor de este Malware, contamos no solo con el servidor al que se conecta sino, que observamos que cuenta con una API que utiliza para comunicarse.












Además, si observamos dicha URL, podemos ver cómo enmascara la página principal…


Ninguna de las funcionalidades de la web es operacional, salvo el login… (Y la API)

Esta API, ofrece funcionalidad el control de las llamadas, de las cuales almacena toda la información disponible, quién llamó, cuánto duró..:


Además del control sobre las llamadas, también facilita el envío al atacante de información como contactos, SMS almacenados, historial de llamadas grabadas...

Entre los mensajes utilizados para distribuirse, encontramos uno de ellos en español, por lo que es posible que este troyano se distribuya por países hispano-parlantes: El mensaje en español empleado para su propagación es 
"Hola   He encontrado aquí sus fotos privadas
http://bit.ly/XXXXX
clic para ver
".
Además de otros idiomas que podemos observar en la captura mostrada a continuación:


También comprobamos como roba más información: IMEI, modelo, sistema operativo, red conectada, teléfono, país…



Como recomendación ante este tipo de amenazas, que se distribuyen a través de SMS es no visitar enlaces desconocidos que lleguen (especialmente, si desconocemos quién nos envía el mensaje), evitar la instalación de aplicaciones fuera del Market oficial y la instalación de Koodous desde Google Play:



Fernando Díaz






7 comentarios:

  1. Un malware muy completo...
    Como curiosidad señalar que los textos están en los idiomas más hablados menos el ruso y el chino, lo cual podría dar una pista del lugar de origen.

    Buen reporte. Un saludo.

    ResponderEliminar
  2. Thanks for sharing a beautiful blog. I got an information from your blog. Keep sharing
    protective order in virginia

    ResponderEliminar
  3. Your blogs are really good and interesting. It is very great and informative. We also check how it steals more information: IMEI, model, operating system, connected network, phone, country.. separation agreement virginia. I got a lots of useful information in your blog. Keeps sharing more useful blogs..

    ResponderEliminar
  4. This blog post is incredibly informative and eye-opening! It's crucial to stay informed about emerging threats like Curiosity to protect our Android devices. Acusado de Domestic Violence en Nueva Jersey The level of detail in your analysis is commendable, making it easier for readers to understand the severity of this issue. Thank you for sharing this valuable information and helping us stay safe in the digital world!

    ResponderEliminar
  5. "laboratorio.blogs.hispasec.com/2016/10/curiosity-el-nuevo-gusano-de-android.html" offers a insightful exploration of the Curiosity worm on Android, providing valuable information on cybersecurity. The blog demonstrates a commendable dedication to keeping readers informed about emerging threats in the digital landscape. Its in-depth analysis and clear explanations contribute to raising awareness about potential risks on Android devices. The blog's commitment to cybersecurity education and proactive insights makes it a reliable resource for staying vigilant in the ever-evolving realm of digital security. This post stands out for its valuable contribution to the broader conversation on protecting mobile devices from emerging threats.
    Abogado Conducción Imprudente Condado Monmouth




    ResponderEliminar
  6. "Curiosity, the New Android Worm," unveils the latest cybersecurity threat targeting Android devices. With its ability to propagate rapidly and exploit vulnerabilities, Curiosity poses a significant risk to mobile users. This malicious worm highlights the ongoing need for robust security measures and regular updates to protect against evolving threats. As cybersecurity experts work to contain and neutralize Curiosity, users are urged to remain vigilant and prioritize device security. This timely warning serves as a reminder of the ever-present dangers in the digital landscape and the importance of proactive defense strategies. mejor abogado de lesiones personales en virginia




    ResponderEliminar
  7. It is essential to seek legal advice as soon as possible after facing reckless driving charges to protect legal interests and rights. An experienced attorney in this field can make a difference in the final outcome of the case. Abogado conducción imprudente Botetourt VA

    ResponderEliminar