viernes, 28 de octubre de 2016

Gusano de Android utiliza ingeniería social para distribuirse

Son muchas las formas de distribución del malware, una de las más habituales es la ingeniería social. En el Laboratorio hemos encontrado una nueva muestra de un gusano para Android que aprovecha esta técnica con gran efectividad.

¿Pero, qué es eso de la ingeniería social? Alguna vez te habrá llegado un mensaje del estilo: "¡Mira esta foto!", "A ver si te encuentras en la foto de anoche!", "Mira, ¡agua en Murcia!". Todo esto, por supuesto, acompañado de un enlace o foto falsa con su respectivo "regalito". Este gusano aprovecha dicho método para distribuirse.

Evidentemente usa el desconocimiento o la curiosidad del usuario para instalarse. Es el propio usuario el que movido por el mensaje abre un enlace o aplicación incluida y de esa forma el malware termina instalado en el dispositivo.

Una vez instalado, solicita permiso para añadirse al dispositivo como administrador, además de pedir autorización para bloquear la pantalla. Con esto impide al usuario detener la acción maliciosa. Por ejemplo, bloquear el teléfono mientras se están enviando SMS, o desbloquearlo para frenar este comportamiento.


En este caso, la explicación que nos da (en chino), para solicitar este permiso es "Improved access protection".

El mecanismo de distribución, comienza nada más abrirse la aplicación.


Como observamos, la aplicación lee la lista de contactos al completo, almacenando el nombre junto con el número de teléfono. De esta manera puede enviar mensajes 'personalizados' a cada uno de los contactos. Este mensaje, sería algo así:

(CONTACTO):这影像 pywkh(.)cc = (CONTACTO):Mira esta imagen pywkh(.)cc

NOTA: No acceder a la URL, contiene la APK maliciosa

Una vez el usuario reciba el enlace, enviado por alguien de confianza y además mencionando su nombre, probablemente lo pulsará y será infectado.

Se recolecta información del dispositivo, y posteriormente se comunica por SMTP. Por "sorpresa", el autor no se ha molestado en ocultar sus credenciales; es decir, van en plano.




El peligro de este Malware no solo reside en su gran facilidad de distribución, sino que debido a tener diferentes servidores desde donde descargar el APK malicioso, puede cambiar en cualquier momento a una aplicación mucho más peligrosa.

Como conclusión de este análisis, tenemos las recomendaciones habituales de hacer click o pulsar sobre enlaces que desconozcamos, y menos aun instalar aplicaciones desconocidas, especialmente fuera del Market oficial.

SHA256: 15af04bba0ed13f13e49ce5cad459d88dbcf723b47becc3e11a7f8ff6075635e



Fernando Díaz
fdiaz@hispasec.com



Publicado por en
Etiquetas: ,

2 comentarios:

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017