miércoles, 23 de noviembre de 2016

Las apariencias engañan

Una de las técnicas más habituales del malware para lograr la infección es hacerse pasar por aplicaciones normales y de utilidad para el usuario. Vamos a analizar dos aplicaciones que en principio pueden parecer inofensivas, pero que después incluyen un elemento bastante peligroso que veremos a continuación.

Las dos aplicaciones que nos ocupan en esta ocasión son las siguientes:


A primera vista, parecen una aplicación de aprendizaje de C++ y otra para trámites bancarios respectivamente. Y en efecto, lo son:




¿Qué elemento peligroso nos encontramos? Las aplicaciones al pasar por los escáneres antivirus parecen limpias, sin ningún signo de peligro:



Pero encontramos lo siguiente: ambas aplicaciones contienen una payload de Meterpreter. 

Para los que lo desconozcan: 

"Meterpreter es un Payload que se ejecuta después del proceso de explotación o abuso de una vulnerabilidad en un sistema operativo, meterpreter es el diminutivo para meta-interprete y se ejecuta completamente en memoria; evitando así tener problemas con los Antivirus."

Lo que ha ocurrido en esta situación es que se ha utilizado una herramienta para infectar aplicaciones de Android utilizando los propios permisos de la aplicación y de esta manera evitar la detección de los antivirus, incluso se pueden añadir permisos nuevos. Concretamente, hacen uso de esta inyección de código; https://github.com/sensepost/kwetza

Listado de posibles permisos añadidos...

Si miramos mas a fondo la aplicación, encontramos que algo no cuadra...


Miramos por encima el smali de la activity... 


Y efectivamente, verificamos que incluye dicho payload. Mucho más sorprendente si recordamos que habían pasado como inofensivas ante los escáneres antivirus. Esto ocurre en ambas aplicaciones, que a pesar de ser oficiales re-empaquetadas, cuentan con código modificado y no se distribuyen por markets oficiales como Google Play

Una vez más, recordamos la necesidad de evitar la descarga desde markets no oficiales o de webs de dudosa fiabilidad, para evitar este tipo de infecciones. 




Fernando Díaz


No hay comentarios:

Publicar un comentario en la entrada