Descripciones de malware

Cuidado: ¡Programas maliciosos preinstalados!

El principal canal de televisión de China, CCTV, tiene una reconocida tradición de conmemorar el Día mundial de los derechos del consumidor (15 de marzo) en su programa ‘Fiesta nocturna 315’. Para este acontecimiento anual se crean una canción y una coreografía sobre las violaciones a los derechos del consumidor. En la celebración correspondiente a este año se informó sobre canales de distribución de smartphones que preinstalan programas maliciosos en los dispositivos Android antes de venderlos a los desprevenidos clientes.

El programa televisivo mostró que el malware preinstalado lleva el nombre de DataService:

Y en otra noticia sobre este mismo tema encontramos el md5 de este programa malicioso.

Kaspersky Lab detecta este programa malicioso como Trojan.AndroidOS.Uupay.a. No se trata de un programa autónomo, pues funciona junto a aplicaciones corrientes para Android, lo que significa que la mayoría de los usuarios ignora que sus aparatos están infectados hasta que les llega una abultada cuenta telefónica. ¿Qué es lo que hace “DataService”? Como se informó, puede enviar una variedad de datos, como el IMEI, las direcciones MAC, el modelo del teléfono, la lista de aplicaciones instaladas, etc. También puede enviar muchos avisos publicitarios y descargar determinadas aplicaciones. Analicemos el código para verificar lo dicho.

Primero, de forma general, veamos AndroidManifest.xml descomprimido del APK del programa malicioso, que muestra información esencial sobre la aplicación. A primera vista, la aplicación obtiene una variedad de autorizaciones críticas, algunas de las cuales pueden costarle dinero al usuario, y penetra en sus datos confidenciales:

Algunas URLs llamaron nuestra atención:

Más adelante explicaremos cómo se usan.

Después de descompilar algunas variantes de este programa malicioso, descubrimos que todas contienen paquetes con nombres como com.google.hfapservice y com.uucun.android.

Aunque contiene “google” como parte de su nombre, ‘com.google.hfapservice’ no tiene nada que ver con Google, y se usa para descargar en segundo plano otras aplicaciones:

E instalarlas también en secreto:

Utiliza el servicio Push Service provisto por Airpush:

Y ejecuta un servicio para capturar y mostrar el aviso publicitario enviado:

Y descarga las aplicaciones enviadas:

También puede obtener varios detalles del smartphone, como el IMEI, las direcciones MAC, el modelo del teléfono, la lista de aplicaciones instaladas, etc.

Los paquetes con nombres como com.uucun.android también contienen códigos para mostrar, descargar e instalar avisos publicitarios u otras aplicaciones en este paquete:

Y recopilar información del teléfono:

Antes de enviar esto a los servidores:

Mediante el análisis dinámico hemos rastreado el tráfico de red de este programa malicioso y hemos encontrado que envía una petición a http://******mall1.plat96.com/ para obtener la lista de aplicaciones que necesita descargar:

http://******mall1.plat96.com/ parece ser algún tipo de mercado no oficial de Android.

Descargamos algunas APKs de la lista de descargas y todas contienen el mismo tipo de programa malicioso que DataService.

Ahora nos queda clara la principal función de DataService, pero la historia no termina aquí. ¿Cómo puede preinstalarse este malware en una cantidad tan grande de flamantes smartphones? En el programa televisivo de CCTV mencionado al principio, su presentador desveló el misterio. Este periodista descubrió que una compañía llamada Goohi, filial del grupo Datang Telecom Technology & Industry Group, ofrece un servicio de preinstalación de aplicaciones para Android a través de un producto llamado “artefacto mágico de Datang”. Hasta la fecha, Goohi cuenta con más de 4.600 miembros en su alianza de preinstalación. Esta alianza ha instalado más de 46 millones de aplicaciones y cada mes se preinstalan varias aplicaciones en más de un millón de smartphones.

¿Cómo es este “artefacto mágico”? Bueno, no es ninguna obra de arte:

Se afirman que este aparato puede instalar automáticamente en un smartphone Android y en cuestión de minutos cada aplicación que contiene. Este menú de aplicaciones viene con los precios incluidos, que varían entre $0,05 – 0,10 por instalación.

Al preinstalar las aplicaciones en la lista, los miembros de la alianza Goohi pueden recibir comisiones de esta compañía según la cantidad de instalaciones que realicen.

Por otra parte, se ha informado que las aplicaciones que Goohi preinstala roban la información confidencial de los usuarios. Goohi admitió este hecho, pero se defendió afirmando que sólo recopilaban datos estadísticos como IMEI, direcciones Mac, modelo del teléfono, lista de aplicaciones, pero nada relacionado con el número del teléfono, la lista de contactos, ni el registro de llamadas. Sin embargo, descubrimos que Trojan-Spy.AndroidOS.Agent.k, que recopila los datos confidenciales de los usuarios, puede tener algún vínculo con Goohi.

En el código descompuesto podemos ver que, en efecto, este troyano envía los registros de llamadas de los usuarios dos veces en 30 segundos:

Y se conecta a 61.160.242.35.

Podemos verificar que la dirección IP sí está vinculada a Goohi con sólo hacer un ping a www.goohi.cn.

Y veremos exactamente la misma dirección IP que encontramos en el programa malicioso.

Aunque el canal de televisión CCTV demostró que el programa malicioso DataService puede preinstalarse en smartphones y que el “artefacto mágico de Datang” puede usarse para este fin, no pudo demostrar un vínculo evidente entre ambos. Pero a partir del nombre “uucun” y de una noticia sobre uucun, podemos ver que posee canales de preinstalación que pueden hacer preinstalaciones en más de 100 millones de smartphones.

Esto sólo nos lleva a fijarnos en el canal de preinstalación del programa malicioso DataService.

Cuidado: ¡Programas maliciosos preinstalados!

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

  1. Elizabeth Cajamarca

    Muy interesante y muy buena informacion. Gracias por estos datos.

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada