Triout, un nuevo Spyware para dispositivos Android

BitDefender ha identificado un nuevo malware para los dispositivos Android. Esta vez se trata de un software espía al que han bautizado como Triout.

Android, como líder del mercado de los sistemas operativos móviles, es el principal objetivo de los creadores de malware, que dirigen sus ataques a estas plataformas para conseguir sus metas, ya sea espiar, robar o manipular datos.

La muestra en cuestión ha sido detectada gracias a los algoritmos de aprendizaje de BitDefender y aunque no han especificado de qué muestra se trata, aseguran (y llama la atención) que las primeras muestras fueron enviadas a VirusTotal desde Rusia y que los análisis e informes provenían de Israel.

El malware descubierto suplanta una aplicación llamada ‘Sex Game’, utilizada por el atacante para atraer la atención de las víctimas. Esta aplicación presenta algunas diferencias respecto a la original: pide más permisos durante su instalación y se compone de más ficheros. También llama la atención que la aplicación está firmada con el certificado de debug de Google, cuyo SHA-1 es: 61ed377e85d386a8dfee6b864bd85b0bfaa5af81.

Icono de ‘Triout’ y de la aplicación suplantada, extraída de https://www.bitdefender.es/

Paquetes de ‘Triout’, extraída de https://www.bitdefender.es/

La principal funcionalidad del malware es el espionaje de las víctimas. Para ello, el malware recopila todo tipo de información personal y la envía a un servidor de C&C controlado por el atacante:

• Capacidad de ocultación.
• Grabación de las llamadas entrantes y salientes del dispositivo, que son enviados a ‘incall3.php’ y ‘outcall3.php’.
• Recepción y envío de SMS que son enviados a ‘script3.php’.
• Recogida del registro de llamadas que envían a ‘calllog.php’.
• Captura de las fotografías y vídeos grabados por el usuario, aunque también puede tomar fotografías y grabaciones que son enviados a ‘uppc.php’, ‘finpic.php’ y ‘reqpic.php’.
• Captura de las coordenadas GPS que son enviadas a ‘gps3.php’.

Ejemplo del código de 'Triout', extraída de https://www.bitdefender.es/

Jose Ignacio Palacios

jipalacios@hispasec.com
@jpalaciosortega

Más información:

BitDefender, noticia de Triout:

https://labs.bitdefender.com/2018/08/triout-spyware-framework-for-android-with-extensive-surveillance-capabilities/

BitDefender, Whitepaper de Triout:

https://labs.bitdefender.com/wp-content/uploads/downloads/triout-the-malware-framework-for-android-that-packs-potent-spyware-capabilities/

Man-in-the-Disk: el nuevo ataque que ha dejado a millones de teléfonos Android vulnerables

El ataque aprovecha la forma en la que las apps utilizan el sistema de almacenamiento externo para dar como resultado una inyección de código.

 

Los investigadores de seguridad de Check Point Software Technologies han descubierto un nuevo vector de ataque contra el sistema operativo Android que podría permitir a los atacantes infectar silenciosamente sus teléfonos inteligentes con aplicaciones maliciosas o lanzar ataques de denegación de servicio.


Conceptos base:

Es bien conocido que las aplicaciones en el sistema operativo Android pueden almacenar sus recursos en el dispositivo en dos ubicaciones: almacenamiento interno y externo.

Google, insta a los desarrolladores a usar el almacenamiento interno, que es un espacio aislado asignado a cada aplicación protegida usando el 'sandbox' integrado de Android, para almacenar sus archivos o datos confidenciales.

Sin embargo, los investigadores encontraron que muchas aplicaciones usaban almacenamiento externo sin protección al que cualquier aplicación instalada en el mismo dispositivo puede acceder.


Explicación del ataque:



Por ejemplo, los investigadores encontraron que el navegador web Xiaomi descarga su última versión en el almacenamiento externo del dispositivo antes de instalar la actualización. Dado que la aplicación no puede validar la integridad de los datos, el código de la actualización legítimo de la aplicación se puede reemplazar por uno malicioso.


Demostraciones:

 
Entre las aplicaciones que han probado se encuentran: Google Translate, Yandex Translate, Google Voice Typing, Lg World, ... entre otras.

Los investigadores recalcan que solo han probado una pequeña cantidad de aplicaciones importantes y, por lo tanto, esperan que el problema afecte a un número más signifitcativo.

Daniel Púa
@dpua_
dpua@hispasec.com

Más información:

Post de Check Point:

https://blog.checkpoint.com/2018/08/12/man-in-the-disk-a-new-attack-surface-for-android-apps/

Detectadas aplicaciones en Google Play Store que contienen malware... para Windows

Las aplicaciones se encontraban en el repositorio oficial desde octubre del año pasado. Aunque inofensivas para los usuarios de Android, si se ejecutan en un entorno Windows pueden infectar el equipo con un keylogger.

Imagen obtenida de Palo Alto.

La retirada de aplicaciones de Google Play Store debido a su contenido malicioso no es nada nuevo. De hecho, hace poco una buena tanda de aplicaciones de minería fueron eliminadas del repositorio. Sin embargo, lo curioso de este caso es que, aunque maliciosas, las aplicaciones no presentan riesgos para usuarios de Android. 

Han sido investigadores de Palo Alto los que han detectado un total de hasta 142 aplicaciones disponibles en Google Play Store que contienen al menos un ejecutable malicioso para Microsoft Windows. El fichero es inofensivo para los usuarios móviles, sin embargo su desempaquetado y posterior ejecución en entornos Windows lleva a la infección del equipo con un keylogger. 

La teoría más plausible es que sean los propios desarrolladores de las aplicaciones los infectados por malware (posiblemente de varias familias) y durante el proceso de desarrollo los ejecutables se han introducido dentro del APK que ha pasado a distribuirse. Cabe señalar que otras aplicaciones del mismo desarrollador están limpias, lo que apunta a que han sido confeccionadas en otro entorno.

Las APKs involucradas que Palo Alto ha hecho públicas se pueden encontrar en Koodous. Como curiosidad, el ejecutable de Windows fue visto por primera vez en 2013.

Francisco López

flopez@hispasec.com

@zisk0

Más información:

Hidden Devil in the Development Life Cycle: Google Play Apps Infected with Windows Executable Files:
https://researchcenter.paloaltonetworks.com/2018/07/unit42-hidden-devil-development-life-cycle-google-play-apps-infected-windows-executable-files/

Aplicación fraudulenta en Google Play activa, 24 horas después de ser reportada

Investigadores de seguridad de la empresa RiskIQ descubrieron un malware “ad-clicker” en Google Play en el día de ayer que aún hoy no ha sido retirado.

El malware con más de 50.000 instalaciones combina su función legítima de optimizador de batería con funciones agresivas de adware. En el estudio publicado por la empresa RiskIQ se puede observar como ante los avisos de publicidad que nos muestra la aplicación pulsemos donde pulsemos nos redirige al mismo sitio.

El malware también roba información confidencial del usuario tales como: (hora, android_id, producto, modelo, marca, país y versión).

En una búsqueda en Koodous aparecen 4 variantes del mismo, correspondientes a 4 versiones distintas de la aplicación. Es especialmente llamativo como la última de ellas integra el permiso de android.permission.RECEIVE_SMS, que puede ser utilizado para la recepción de mensajes premiums.

Desde Koodous hemos creado una regla basada en los IOCs adjuntos al informe para detectar futuras variantes de la aplicación.

Este caso de malware en Google Play no es un caso aislado, llama la atención sobre todo como este tipo de adware parece tener más fácil sortear los controles de seguridad impuestos por el market de aplicaciones de Google; estaremos atentos a que sea finalmente retirado de Google Play.

4a43192a10d878211f3fb62e0d70d07aed2388b834884ca9887d118edabc71e6 Jun 22, 2018 9:35:48 AM

6d58c9512f8233bd3cd67535006f399bf44b752bb99b83f1714b4904ae495de9 May 22, 2018 8:41:15 PM

d44a6a8b9b697f4b2c782dfd3258eaeeae1d577d86507262dc808dd207cec2e6 Mar 26, 2018 1:05:47 PM

f83ee84e6e202bf1896535104c00a4cabae87b434c85c85aba0b626622f17332 Feb 20, 2018 2:24:25 AM

Actualización:
22 de Junio de 2018 22:13 - Ya se ha borrado la aplicación de Google Play.

Fernando Ramírez
@fdrg21

Más información:

Scammy App That Infects Phones for Ad-clicking and Info-Stealing Controls Over 60,000 Devices:

https://www.riskiq.com/blog/interesting-crawls/battery-saving-mobile-scam-app

Google Play Advanced Battery Saver:
https://play.google.com/store/apps/details?id=com.advancedbatr.batsaver

MysteryBot, el nuevo troyano "todo en uno" para Android

Por si fuera poco el nivel de malware existente en los dispositivos Android en estos tiempos, ahora se le suma la propia evolución de LokiBot, que supone una nueva familia de malware denominada como MysteryBot.

El malware ha sido detectado por investigadores de ThreatFabric durante uno de sus análisis rutinarios de la familia Lokibot, de la cual hereda ciertos comportamientos. Concretamente, ha sido detectado gracias a que MysteryBot tiene el mismo servidor de control que Lokibot.

Podemos corroborar esta información utilizando la plataforma Koodous, en la cual en este momento ya existen muestras clasificadas como MysteryBot:

Las novedades que trae este malware es la combinación de varias vías de ataque que pasamos a desgranar a continuación:

Registro de pulsaciones: El malware guarda las pulsaciones que realiza el usuario en la pantalla, aunque además tiene algunas novedades: también detecta si el teléfono está en horizontal o vertical, datos que utiliza para calcular qué se ha pulsado en el teléfono teniendo en cuenta las dimensiones del dispositivo. Tiene módulos de las familias CryEye y Anubis y, según el código analizado por ThreatFabric, parece estar aún en desarrollo.

Ransomware: Este comportamiento resulta ya familiar en el malware móvil, y trata en cifrar el dispositivo para posteriormente pedir un rescate monetario a cambio de su descifrado. En este caso la muestra no cifra datos, sino que los comprime en un archivo zip con contraseña, la cual actualmente no tiene mucha robustez (solo 8 caracteres).

Ataques de superposición: La característica más novedosa de este malware, no tanto por lo que hace si no por su ejecución. Este comportamiento permitía qué, cuando un usuario abre una aplicación legítima, el malware aprovechará para mostrar una interfaz superpuesta, engañando al usuario de forma poco sospechosa. Sin embargo, tras la introducción de Android 7 y 8 ya no era posible realizar ataques de superposición, lo que ha llevado a los creadores de malware a buscar nuevas técnicas. Esta familia abusa del permiso 'PACKAGE_USAGE_STATS', que junto con el uso de la clase 'AccessibilityService' y un cálculo correcto de tiempos le permite realizar ataques de superposición con éxito.

Sin duda el malware es novedoso y aprovecha las últimas técnicas de ataque en Android. Actualmente se desconoce si los atacantes tienen alguna campaña de promoción, pero lo que sí podemos observar en la captura facilitada anteriormente es que la intención es hacerse pasar por la aplicación Adobe Flash Player.

Desde Hispasec recomendamos siempre instalar en Android aplicaciones desde repositorios oficiales, pero además que se realicen unas comprobaciones mínimas como verificar al desarrollador de la aplicación o que sea enlazada desde la página oficial de la compañía.

Jose Ignacio Palacios

@jpalaciosortega

Más información:

MysteryBot; a new Android banking Trojan ready for Android 7 and 8:

https://www.threatfabric.com/blogs/mysterybot__a_new_android_banking_trojan_ready_for_android_7_and_8.html

MysteryBot en Koodous:
https://koodous.com/apks?search=tag:MysteryBot

Disponible el informe anual del CCN-CERT sobre amenazas y vulnerabilidades en dispositivos móviles

El CCN-CERT (Centro Criptológico Nacional) ha publicado el informe anual sobre las amenazas y vulnerabilidades en dispositivos móviles.

El informe, nos muestra un recorrido por todo lo acontecido a lo largo de 2017 en materia de seguridad en dispositivos móviles. Sin lugar a dudas, y tal y como refleja el propio informe en su introducción, estos sistemas poseen una amplia adopción tanto en el mundo profesional como en el personal. Esto se refleja también en la orientación o tendencias del malware, cada vez más enfocado en el mundo móvil.

Un hecho destacable es la predominancia del sistema operativo Android y la casi completa desaparición del malogrado Windows Phone. Respecto a Android se vuelve a confirmar algo que ya sabíamos y que hemos repetido varias veces desde Una-al-día: la fragmentación de Android. Un fenómeno que no solo fastidia a los desarrolladores de la plataforma de Google, sino que también significa que una larga porción de usuarios podría estar exponiéndose a vulnerabilidades que afectan a versiones sin soporte.

No obstante, respecto a la fragmentación de Android, el informe recoge una interesante iniciativa que intentará paliar los efectos de este fenómeno. Básicamente, se trataría de separar la capa de personalización de los fabricantes del sistema base. Esto, facilitaría que el gigante del buscador pueda ofrecer actualizaciones de forma más rápida a los usuarios, sin tener que esperar meses o de manera indefinida a un parche producido por el fabricante del terminal.

El informe, también dedica un capítulo a explorar las diferentes medidas se seguridad biométrica, como el sistema FaceID de Apple, el escaneo del iris y reconocimiento facial de Samsung o el Intelligent Scan que estrenaron los dispositivos S9 y S9+ del mismo fabricante. 

Otros aspectos destacables del informe son la adopción paulatina de formas adaptadas de inteligencia artificial en estos dispositivos y los sistemas de protección frente a desbloqueos y extracción forense de datos en caso de sustracción o pérdida del terminal. Recordemos la importancia de estas plataformas hace que sean un objetivo muy apetecible para el robo de información sensible, sobre todo en el ámbito de las organizaciones y gobiernos.

A destacar la parte de análisis de las amenazas más destacadas en el sentido del malware que afecta a sistemas operativos móviles, en la que vuelve a ser el protagonista Android, así como la orientación de los objetivos del código malicioso a explotar las capacidades computaciones de estos sistemas para minar criptomoneda.

En resumen, una interesante lectura que glosa lo acontecido en seguridad de sistemas y plataformas móviles durante el pasado año y marca, a su vez, las lineas de tendencia que podría seguir el presente año.

David García
@dgn1729

Más información:

Informe Anual 2017 Dispositivos y comunicaciones móviles
https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2826-ccn-cert-ia-10-18-informe-ciberamenazas-2017-y-tendencias-2018-dispositivos-moviles-dispositivos-y-comunicaciones-moviles/file.html

Nueva actualización de Koodous disponible en Google Play

El pasado 3 de mayo se publicó en Google Play una nueva versión de Koodous. Concretamente la 2.1.10, que introduce cambios en su interfaz y nuevas funcionalidades que repasaremos a continuación.

Cuando empezamos en 2015, Koodous contaba con un dataset de aplicaciones de a penas 3 millones de muestras. Hoy día contamos con más de 28 millones de APK y un volumen de más de 10.500 usuarios activos, de los cuales más de 3.500 son analistas.

Para quienes no lo conozcan, Koodous Mobile funciona como antivirus, protegiendo tu dispositivo Android de aplicaciones maliciosas como troyanos, virus y publicidad abusiva. 

¿Qué diferencia a Koodous de los antivirus tradicionales?

Básicamente dos cosas: por un lado el repositorio de muestras, que a día de hoy cuenta con más de 28 millones de APK. Y por otro, una comunidad creciente y activa de analistas que ayudan con sus reglas a detectar nuevas familias de malware y aplicaciones potencialmente no deseadas.

La nueva aplicación se ha reescrito casi desde cero para reducir aún más el impacto en el rendimiento, incluso en dispositivos antiguos.

Estas son las principales novedades:

Nueva interfaz

Los cambios en la interfaz permiten tener una visual más inmediata de la seguridad de nuestros dispositivos. Además se simplifica el funcionamiento: automáticamente Koodous Mobile comprobará contra su base de datos las nuevas instalaciones y actualizaciones instaladas en el dispositivo, de forma transparente al usuario. En caso de detectar alguna aplicación maliciosa se notificará al usuario y se proporcionará un acceso directo a la solución.

También se ha cuidado su estética, haciéndola visualmente más atractiva en móviles y tablets.

Instalador

Se introduce como novedad un "instalador" que comprueba la aplicación antes de que se instale en el sistema. De esta manera es posible parar el malware antes de que pueda afectar a nuestro dispositivo.

Koodous previene instalar una aplicación potencialmente maliciosa

Información extendida

Una nueva vista muestra información detallada sobre las aplicaciones instaladas en el dispositivo. De este modo se pueden revisar los permisos o realizar un análisis más exhaustivo de la aplicación a través la plataforma web.

Si aún no lo has probado os animamos a instalar esta nueva versión y proteger vuestros dispositivos con Koodous.

Koodous

@koodous_project

Más información:

Koodous Antivirus:

https://play.google.com/store/apps/details?id=com.koodous.android

TeleRAT, el troyano que utiliza la API de Telegram para exfiltrar información

Investigadores de Palo Alto Networks analizan una nueva familia de RAT que utiliza exclusivamente la API de Telegram para enviar y recibir la información.

TeleRAT es un troyano para Android diseñado para robar información. Sus objetivos principales parecen apuntar a ciudadanos iraníes y guarda bastante relación con otro troyano de similares características y objetivos: IRRAT.

La novedad que introduce esta nueva familia es que utiliza únicamente la API de Telegram para comunicarse con el C2 para recibir comandos y enviar la información.

El malware funciona de la siguiente forma: 

En primer lugar se crean los archivos 'telerat2.txt' con información técnica sobre el dispositivo. Y 'thisapk_slm.txt' con la dirección del canal de Telegram y una lista de comandos aceptados.

Una vez instalado en el sistema, el malware envía a los atacantes un mensaje con la fecha y la hora, indicando que está operativo. A la vez, el malware inicia varios servicios que monitorizan el portapapeles del dispositivo y otros que quedan a la espera de actualizaciones desde la API de Telegram.

Utilizando esta vía de comunicación los atacantes pueden dar ordenes al troyano para recibir diversa información: la lista de contactos, su localización, información sobre la batería, el portapapeles, etc. También permite exfiltrar ficheros utilizando el método 'sendDocument'. Al utilizar exclusivamente la API de Telegram hace más difícil la detección de estos comportamientos

Fuente: https://researchcenter.paloaltonetworks.com/

El malware se ha distribuido en algunos markets iraníes y canales de Telegram haciéndose pasar por aplicaciones legítimas con nombres como "Telegram Finder" o "Profile Cheer".

Francisco Salido
fsalido@hispasec.com

Más información:

TeleRAT: Another Android Trojan Leveraging Telegram’s Bot API to Target Iranian Users:

https://researchcenter.paloaltonetworks.com/2018/03/unit42-telerat-another-android-trojan-leveraging-telegrams-bot-api-to-target-iranian-users/

Fakebank, el troyano bancario que intercepta tus llamadas

El troyano bancario está dirigido a bancos coreanos y es capaz de interceptar las llamadas entre las víctimas y el banco.

A diferencia de versiones anteriores de Fakebank, esta nueva variante es capaz de interceptar las llamadas entre el usuario y su entidad bancaria y viceversa. Para ello, el troyano recolecta en primer lugar información personal del usuario y la envía al servidor de C&C. Posteriormente, el C&C responde con varios parámetros de configuración, especificando entre otras cosas el número de teléfono que será usado en el fraude:

• phoneNum_ChangeNum: El número legítimo del banco, que será reemplazado por el número fraudulento cuando el usuario haga la llamada. 
• phoneNum_To: El número de los atacantes que simulará ser el banco.
• phoneNum_Come: El número del atacante que llamará a la víctima. Se falsificará el ID de la llamada.
• phoneNum_ShowNum: El número legítimo del banco que se mostrará cuando los atacantes realizan la llamada.

Parámetros de configuración del malware. Fuente: https://www.symantec.com

Cuando el usuario llame a su entidad bancaria el malware interceptará la llamada y la redirigirá a los atacantes. Y al contrario, cuando los atacantes simulen una llamada de la entidad bancaria, suplantarán la identidad de ésta falsificando el ID de la llamada.

De este modo los atacantes tienen un mecanismo bastante efectivo para engañar a sus víctimas.

No solo esto, el malware también ha mejorado su sistema de permisos, ajustándose a las distintas versiones de Android para conseguir pasar más inadvertido:

• Versiones anteriores a Android 6 especificarán el permiso de 'android.permission.SYSTEM_ALERT_WINDOW' en el 'manifest' de la aplicación, por lo que se notificará en la instalación.
• En Android 6 y 7 los permisos se conceden de forma silenciosa si se declaran en el 'manifest' y la aplicación proviene de Google Play.
• A partir de la versión 8 de Android ya no se permite superponer ventanas desde aplicaciones, por lo tanto el malware no funcionaría.

Configuraciones específicas para diferentes pantallas. Fuente: https://www.symantec.com

Como recomendaciones de seguridad se recomienda siempre instalar aplicaciones de repositorios oficiales y poner especial atención a los permisos que se solicitan.

Francisco Salido
fsalido@hispasec.com

Más información:

New Fakebank Variant Intercepts Calls to Connect Banking Users to Scammers
https://www.symantec.com/blogs/threat-intelligence/fakebank-intercepts-calls-banks

Android.Fakebank
https://www.symantec.com/security-center/writeup/2013-071813-2448-99

Descubiertos dispositivos Android con troyano de la familia "Triada" instalado de fábrica

Se han detectado un total de 42 modelos de teléfonos Android los cuales tienen un troyano bancario de la familia ‘Triada’ instalado de fábrica.

Extraída de wccftech.com

El troyano bancario es un malware que tiene como finalidad robar credenciales bancarias, pero no solo eso, sino también conseguir los datos necesarios para realizar estas transacciones, como por ejemplo códigos de seguridad enviados por SMS desde la entidad bancaria al terminal.

Investigadores de la empresa rusa Dr.Web afirman haber encontrado dispositivos con un troyano de la familia "Triada" instalado de fábrica, y que los paises afectados van más allá de Rusia. La muestra también ha sido encontrada en Polonia, Indonesia, China, República Checa, México, Kazajstán y Serbia.

La muestra en cuestión, identificada como ‘Android.Triada.231’, fue detectada por primera vez en 2016, y cuyo funcionamiento principal es la infección de ‘Zygote’, proceso utilizado por el sistema operativo para arrancar todas las aplicaciones, y así poder obtener control total de las mismas. Para eliminar la muestra del sistema es obligatorio realizar una reinstalación completa del sistema operativo.

Actualmente la lista de los terminales detectados con la muestra son los siguientes:

• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9
• ARK Benefit M8
• Zopo Speed 7 Plus
• UHANS A101
• Doogee X5 Max
• Doogee X5 Max Pro
• Doogee Shoot 1
• Doogee Shoot 2
• Tecno W2
• Homtom HT16
• Umi London
• Kiano Elegance 5.1
• iLife Fivo Lite
• Mito A39
• Vertex Impress InTouch 4G
• Vertex Impress Genius
• myPhone Hammer Energy
• Advan S5E NXT
• Advan S4Z
• Advan i5E
• STF AERIAL PLUS
• STF JOY PRO
• Tesla SP6.2
• Cubot Rainbow
• EXTREME 7
• Haier T51
• Cherry Mobile Flare S5
• Cherry Mobile Flare J2S
• Cherry Mobile Flare P1
• NOA H6
• Pelitt T1 PLUS
• Prestigio Grace M5 LTE
• BQ 551

Aclarar que la compañia BQ afectada es BQ rusia (bq.ru) y que no tiene nada que ver con BQ España.

No es la primera vez que se detecta malware preinstalado en estos dispositivos. Aunque la firma antivirus no culpa directamente a los fabricantes de smartphones, puesto que la infección suele venir en aplicaciones de terceros, sí lamenta la falta de control de las aplicaciones de terceros instaladas en los dispositivos antes de ponerlos en el mercado.

Jose Ignacio Palacios
jipalacios@hispasec.com

Más información:

Doctor Web: over 40 models of Android devices delivered already infected from the manufacturershttps://news.drweb.com/show/?i=11749&c=5&lng=en&p=0