Una de las técnicas más habituales del
malware para lograr la infección es hacerse
pasar por aplicaciones normales y de utilidad para el usuario. Vamos a
analizar dos aplicaciones que en principio pueden parecer inofensivas, pero
que después incluyen un elemento bastante peligroso que veremos a continuación.
Las dos aplicaciones que nos ocupan en esta ocasión son las siguientes:
A primera vista, parecen una aplicación de aprendizaje de C++ y otra para trámites bancarios respectivamente. Y en efecto, lo son:
¿Qué elemento peligroso nos encontramos? Las aplicaciones al pasar por los escáneres antivirus parecen limpias, sin ningún signo de peligro:
Pero encontramos lo siguiente: ambas aplicaciones contienen una payload de Meterpreter.
Para los que lo desconozcan:
"Meterpreter es un Payload que se ejecuta después del proceso de explotación o abuso de una vulnerabilidad en un sistema operativo, meterpreter es el diminutivo para meta-interprete y se ejecuta completamente en memoria; evitando así tener problemas con los Antivirus."
Lo que ha ocurrido en esta situación es que se ha utilizado una herramienta para infectar aplicaciones de Android utilizando los propios permisos de la aplicación y de esta manera evitar la detección de los antivirus, incluso se pueden añadir permisos nuevos. Concretamente, hacen uso de esta inyección de código; https://github.com/sensepost/kwetza
Listado de posibles permisos añadidos...
Si miramos mas a fondo la aplicación, encontramos que algo no cuadra...
Miramos por encima el smali de la activity...
Y efectivamente, verificamos que incluye dicho payload. Mucho más sorprendente si recordamos que habían pasado como inofensivas ante los escáneres antivirus. Esto ocurre en ambas aplicaciones, que a pesar de ser oficiales re-empaquetadas, cuentan con código modificado y no se distribuyen por markets oficiales como Google Play.
Una vez más, recordamos la necesidad de evitar la descarga desde markets no oficiales o de webs de dudosa fiabilidad, para evitar este tipo de infecciones.
Fernando Díaz
Understanding the deceitful nature of seemingly innocent applications is vital while exploring the world of cybersecurity and malware. Therefore, it is crucial to look for trustworthy and credible sources. Anyone needing help with an assignment on this subject should look for reliable, cheap assignment writers who can offer insightful guidance and support in navigating this challenging subject. Stay informed and safe!
ResponderEliminarI appreciate the commitment you show in curating such informative content. Your blog is a testament to your passion for delivering quality insights. Every post demonstrates your expertise, offering readers valuable knowledge. Keep up the fantastic work! New York Same Sex Divorce Lawyer New York State Divorce Abandonment
ResponderEliminarHuge thanks to the blog creator for their enriching content. Your dedication to sharing knowledge is truly admirable and greatly appreciated. jesus tanjore paintings, Keep up the fantastic work, inspiring and educating your audience with valuable insights.
ResponderEliminar