Lejos de la realidad, el “Curiosity” al que se refiere
al título, nada tiene que ver con ninguna misión espacial "murciana". Esta vez,
se trata de un nuevo gusano para Android que en la actualidad está alcanzando
un gran número de infecciones.
Gracias a Koodous
hemos conseguido una muestra y hemos procedido a un análisis del mismo
En la actualidad
ya hay hasta 11 muestras que cumplen la regla Yara creada para la detección de
Curiosity.
Si analizamos el
comportamiento de Curiosity vemos que una vez infecta a la víctima obtiene una
lista de todos los contactos registrados en el teléfono y se autoenvía a través
de enlaces en SMSs y phishing. Esto le ha permitido conseguir distribuirse rápidamente
en diferentes dispositivos y crear una amplia red de infecciones.
Este malware,
actúa de la siguiente manera:
- Una vez instalado, se establece como aplicación de SMS por defecto.
- Intercepta los mensajes recibidos por el usuario.
- Elimina el número del que recibirá la comunicación de la lista negra, para poder establecer contacto.
- Aprovecha el servicio de Push de Google (C2DN) para las comunicaciones SMS o llamadas.
- Colecciona la información del usuario, mensajes, contactos, modelo del teléfono, historial del navegador, aplicaciones instaladas, marcadores… (Se verá más en detalle a continuación).
- Toma el control sobre las llamadas, tanto para realizarlas como para colgar el teléfono al usuario.
- Toda esta información es posteriormente enviada a un servidor remoto (atacante).
La curiosidad mató al robot
Observamos cómo se
cumplen los comportamientos anteriores. Primero comprueba si es la aplicación
por defecto para el envió de SMS, de lo contrario se establecerá como tal:
Y el
comportamiento referente a la lectura de los mensajes entrantes, podemos
observarlo a continuación…
Como "anécdota", el creador de esta
aplicación dejó su presunta dirección de correo electrónico a la vista para
recibir los reportes de fallos en su aplicación (Y así poder mejorarla a
futuro).
Los primeros
permisos que solicita, se pueden ver a continuación:
private static final String[]
INITIAL_PERMS = {
"android.permission.ACCESS_FINE_LOCATION",
"android.permission.ACCESS_COARSE_LOCATION",
"android.permission.CALL_PHONE", "android.permission.SEND_SMS",
"android.permission.READ_SMS", "android.permission.READ_CONTACTS",
"android.permission.WRITE_CONTACTS",
"android.permission.READ_CALENDAR",
"android.permission.WRITE_CALENDAR" };
"android.permission.ACCESS_FINE_LOCATION",
"android.permission.ACCESS_COARSE_LOCATION",
"android.permission.CALL_PHONE", "android.permission.SEND_SMS",
"android.permission.READ_SMS", "android.permission.READ_CONTACTS",
"android.permission.WRITE_CONTACTS",
"android.permission.READ_CALENDAR",
"android.permission.WRITE_CALENDAR" };
También, gracias
al "descuido" por parte del autor de este Malware, contamos no solo
con el servidor al que se conecta sino, que observamos que cuenta con una API que
utiliza para comunicarse.
Además, si
observamos dicha URL, podemos ver cómo enmascara la página principal…
Ninguna de las
funcionalidades de la web es operacional, salvo el login… (Y la API)
Esta API, ofrece funcionalidad el
control de las llamadas, de las cuales almacena toda la información disponible,
quién llamó, cuánto duró..:
Además del control sobre las llamadas,
también facilita el envío al atacante de información como contactos, SMS
almacenados, historial de llamadas grabadas...
Entre los mensajes utilizados
para distribuirse, encontramos uno de ellos en español, por lo que es posible
que este troyano se distribuya por países hispano-parlantes: El mensaje en
español empleado para su propagación es
"Hola He encontrado aquí sus fotos privadas
http://bit.ly/XXXXX
clic para ver".
Además de otros idiomas que podemos
observar en la captura mostrada a continuación:
También comprobamos
como roba más información: IMEI, modelo, sistema operativo, red conectada,
teléfono, país…
Como
recomendación ante este tipo de amenazas, que se distribuyen a través de SMS es
no visitar enlaces desconocidos que lleguen (especialmente, si desconocemos
quién nos envía el mensaje), evitar la instalación de aplicaciones fuera del
Market oficial y la instalación de Koodous desde Google Play:
Fernando Díaz
Un malware muy completo...
ResponderEliminarComo curiosidad señalar que los textos están en los idiomas más hablados menos el ruso y el chino, lo cual podría dar una pista del lugar de origen.
Buen reporte. Un saludo.
Thanks for sharing a beautiful blog. I got an information from your blog. Keep sharing
ResponderEliminarprotective order in virginia