Autores
Introducción
El malware para dispositivos móviles es algo con lo que nos encontramos muy a menudo. En 2023 nuestras tecnologías bloquearon 33,8 millones de ataques de malware, adware y riskware en dispositivos móviles. Uno de los ataques de más repercusión en 2023 fue Operation Triangulation, y afecto a dispositivos con iOS, pero fue un caso bastante singular. De las plataformas móviles, Android sigue siendo el sistema operativo objetivo más popular entre los ciberdelincuentes. El mes pasado escribimos un total de cuatro informes privados sobre malware para Android, tres de los cuales resumimos a continuación.
Para obtener más información sobre nuestro servicio de denuncia de crimeware, puede ponerse en contacto con nosotros en crimewareintel@kaspersky.com.
Tambir
Tambir es un backdoor para Android dirigido a usuarios de Turquía. Se disfraza de aplicación IPTV, pero no muestra tener tal funcionalidad. En su lugar, se trata de una aplicación espía en toda regla que recopila mensajes SMS, pulsaciones de teclas, etc.
Al iniciarse, la aplicación muestra una pantalla en turco que pide al usuario habilitar el servicio de accesibilidad. Una vez que se le conceden todos los permisos, la app obtiene la dirección C2 de una fuente pública, como Telegram, ICQ o Twitter/X. A continuación, la aplicación cambia de forma cambiando su icono por el de YouTube.
Dirección del C2 cifrada en la descripción de una invitación a un chat
Tambir admite más de 30 comandos que puede recibir del C2. Entre ellos están iniciar y detener el keylogger, ejecutar una aplicación especificada por el atacante, enviar mensajes SMS, marcar un número, etc.
Encontramos ciertas similitudes entre Tambir y el malware GodFather. Ambos apuntan a usuarios de Turquía y ambos admiten el uso de Telegram para recuperar una dirección del servidor C2. Sin embargo, Tambir tiene un conjunto de funciones mucho más rico.
Dwphon
En noviembre de 2023 descubrimos una variante de malware para Android dirigida a teléfonos móviles de varias marcas OEM chinas. Sus productos se destinaban principalmente al mercado ruso. Anteriormente se había encontrado el mismo malware en el firmware de un smartwatch para niños de un fabricante israelí que se distribuía principalmente en Europa y Oriente Próximo.
Dwphon viene como un componente de la aplicación de actualización del sistema y exhibe muchas características del malware preinstalado de Android. Por ejemplo, recopila información personal y sobre el dispositivo, así como información sobre las aplicaciones de terceros instaladas en el dispositivo. La ruta exacta de la infección no se conoce con claridad, pero se supone que la aplicación infectada fue incorporada al firmware por uno de los proveedores de componentes de firmware.
El malware en sí consta de varios módulos que proporcionan una serie de funciones:
- Módulo principal. Recoge información del sistema (por ejemplo, IMSI, idioma del sistema, etc.) y la envía al C2. Los comandos que puede recibir están relacionados con la instalación, descarga y eliminación de apps en el dispositivo, la descarga de archivos y la visualización de ventanas emergentes, entre otros.
- Módulo DsSdk. Otro módulo que recoge información sobre los dispositivos. El módulo tiene su propio C2 y no puede recibir órdenes.
- Módulo ExtEnabler. Este módulo inicia y supervisa otras aplicaciones. Parte de la funcionalidad del módulo consiste en enviar un mensaje de difusión cuando se inicia una aplicación. Algunas de las muestras que investigamos no contenían ningún código de receptor. Sin embargo, encontramos una muestra que contenía código de receptor. Esta muestra incluye el troyano Triada, lo que sugiere un vínculo entre Dwphon y Triada, aunque no hay pruebas suficientes que lo respalden.
Gigabud
Gigabud es un RAT (troyano de acceso remoto) para Android, que está activo al menos desde mediados de 2022 y fue descubierto por primera vez en enero de 2023. Se centra en el robo de credenciales bancarias de personas del sudeste asiático. Al pricipio se hacía pasar por una aplicación de una aerolínea local, pero más tarde cruzó las fronteras a otros países, como Perú, y también cambió la funcionalidad para falsificar malware de préstamos.
Gigabud está escrito en Kotlin, y ofuscado con Dexguard y posteriormente Virbox. Sus distintas versiones fingen ser aplicaciones creadas por empresas de Tailandia y Perú, entre otras. Al iniciarse, la aplicación muestra la pantalla de inicio de sesión de la app por la que quiere hacerse pasar y posteriormente envía las credenciales, junto con la información del dispositivo, al C2. A continuación, muestra un asistente virtual, que guía a la víctima para solicitar un préstamo.
A continuación, solicita que se active la función de accesibilidad, si aún no está activada. Lo necesita para robar credenciales e imitar eventos táctiles para eludir la autenticación de dos factores.
Esquema de datos capturados
Además de robar credenciales, Gigabud incorpora un módulo de grabación de pantalla. La funcionalidad principal es capturar las credenciales del dispositivo infectado. Lo hace transmitiendo la pantalla al C2 a través de WebSocket o RTMP.
Gigabud contiene varios artefactos en chino. Por ejemplo, los mensajes de registro están escritos en chino, la firma del APK está en chino y los servidores C2 se encuentran en China.
Conclusión
En 2023, detectamos más de 1,3 millones de paquetes de instalación maliciosos únicos dirigidos a la plataforma Android, distribuidos de diversas formas. Para protegerse, los usuarios no deben descargar aplicaciones de mercados de aplicaciones no oficiales y revisar con mucha atención los permisos que solicitan las aplicaciones. Con frecuencia, las aplicaciones no incorporan ninguna función de explotación, por lo que dependen únicamente de que el usuario les conceda permisos. Además, las herramientas antimalware ayudan a mantener limpio los dispositivos Android.
Si desea estar siempre al día de las últimas TTP utilizadas por los delincuentes, o si tiene alguna pregunta sobre nuestros informes privados, puede escribirnos a crimewareintel@kaspersky.com.
Indicadores de compromiso
Gigabud
043020302ea8d134afbd5bd37c05d2a8
0960de9d425b5157720f59c2901d4e3b
0677a090eb28837b1bbf3e6ab1822fdd
Dwphon
042f041108a79ac07d7b3165531faa9a
1796e678498bf9a067c43769f4096488
274b8d86042d94a6ca6823841fec6d2c
Tambir
04807757a54ce0fbc8326ea8b11f8169
06148a2e5828e6844c2a1a74030d22b6
098dac0668497d9707045bc1e10ced93
Autores
De los mismos autores
En la misma categoría
Malware para Android, malware para Android y aún más malware para Android