Muchas personas se han encontrado con ofertas de suscripciones a proveedores de contenido móvil. Aparecen como de la nada, y solo se los detecta cuando ya no quedan fondos en la cuenta. Podría parecer que para estar protegidos bastaría con no visitar sitios cuestionables ni instalar aplicaciones de terceros, pero por desgracia, hoy en día esto no es suficiente. Hace poco descubrimos varias aplicaciones en Play Market que están directamente relacionadas con estos servicios prestados sin el consentimiento del usuario.
A primera vista, son editores de fotos normales, pero las sospechas comienzan a aparecer al leer la lista de permisos. Por ejemplo, estas aplicaciones requieren acceso al control del Wi-Fi, algo que es bastante inusual para este tipo de software. Además, al iniciarse, los editores solicitan acceso a las notificaciones e insisten hasta que el usuario acepte concederlo. Mientras el usuario está tratando de decorar su foto (con una funcionalidad deficiente), la aplicación en secreto recopila información sobre el dispositivo y la envía al servidor ps.okyesmobi[.]com.
Ejemplo de una solicitud, obtenido después de descifrar el tráfico de la aplicación:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
{ "q1":"201905211050", // identificador de la aplicación "y":1184, // altura de la pantalla "sign": "308F03D2E9173D9A1A43DFA15FDAF47D" "z":"PUSH", "e":"201905211050", "pl":"25011", // código de la red del operador de telefonía "cf":"111,108", "s1":"104870", "a":"862921000707889", // imei "i": 720, // ancho de la pantalla "b":"250110201713837", // imsi "c":"desconocido", "j":"ru", "d":"S10", // modelo del teléfono "e1":1 // estado del Wi-Fi } |
Como se puede ver, se transmite información sobre el dispositivo y la red del operador. En respuesta, el software recibe un conjunto de enlaces (según el país y el proveedor de servicios) a las siguientes páginas:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
{ "sts":200, "ph":"", "js":[], "list": [ { "sta":0, "cf":"111", "dy":0, "tl":"http://of.okyesmobi[.]com/redirect?uid=F867D2329F195671825571419DB5B7FA67880B4E99583D6B&sourceid=2300&clickid=104870_112672190_250110201713837_862921000707889_201905211050_0.31_94.25.169.249", "id":0, "oid": 112672190 } ], "cr": [ { "tl":"http://of.okyesmobi[.]com/redirect?uid=35092271DFB564AE09748A8CF282E15D089A4800D04DE5FE&sourceid=2300&clickid=104870_155608136_250110201713837_862921000707889_201905211050_0.36_94.25.169.249&p=1", "oid":155608136 }, { "tl":"http://of.okyesmobi[.]com/redirect?uid=71CBD61E0439CE5B6B6EF0BC46C140A842767CC39AC9A56E&sourceid=2300&clickid=104870_130581973_250110201713837_862921000707889_201905211050_0.24_94.25.169.249&p=1", "oid":130581973 } ], "wf":true } |
Estas direcciones, después de varios desvíos, llevan al usuario a la página de suscripción. Nuestras tecnologías detectan estas páginas como not-a-virus:HEUR:AdWare.Script.Linkury.gen.
Una vez recibidas las direcciones de páginas maliciosas, el programa las carga en una ventana invisible para el usuario. Antes de hacerlo, la aplicación apaga el módulo Wi-Fi en el teléfono del usuario, para facilitar que la suscripción se haga mediante la conexión de datos móviles.
Luego, la aplicación descifra el script Java complementario almacenado en los recursos de la aplicación y realiza las acciones necesarias para activar la suscripción:
- Sustituye el número de teléfono del usuario (obtenido durante la recopilación de información) en el campo correspondiente;
- Si la página de suscripción está protegida mediante CAPTCHA, la aplicación la resuelve mediante el servicio de reconocimiento de imágenes chaojiying[.]com y la inserta automáticamente en el campo correspondiente de la página.
- Si se necesita ingresar un código de SMS para activar la suscripción, la aplicación lo obtiene mediante el acceso a las notificaciones;
- Hace clic en el botón necesario para suscribirse.
¿Cómo protegerse?
El análisis de las páginas descargadas por el malware mostró que está dirigido a usuarios de diferentes países y que su distribución a través de la tienda oficial de aplicaciones permitió a los autores distribuirlo sin problemas. Para no morder el anzuelo y conservar el dinero de su cuenta de teléfono móvil, le recomendamos que estudie detenidamente la lista de permisos que solicitan las aplicaciones durante la instalación e instale en su teléfono inteligente una solución de protección que pueda detectar este tipo de amenaza. Además, puede activar la opción “prohibir contenido” o abrir una cuenta de contenido.
IOCs
SHA256
- 7F5C5A5F57650A44C10948926E107BA9E69B98D1CD1AD47AF0696B6CCCC08D13
- E706EB74BAD44D2AF4DAA0C07E4D4FD8FFC2FC165B50ED34C7A25565E310C33B
- 796A72004FAE62C43B1F02AA1ED48139DA7975B0BB416708BA8271573C462E79
- C5CA6AA73FDCB523B5E63B52197F134F229792046CBAC525D46985AD72880395
- B9038DC32DE0EA3619631B54585C247ECFD304B72532E193DED722084C4A7D1C
- D4406DEE2C0E3E38A851CEA6FD5C4283E98497A894CA14A58B27D33A89B5ED5F
- 59D64FBFF1E5A9AC1F8E29660ED9A76E5546CA07C2FF99FE56242FA43B5ABEC3
- C5B6146D7C126774E5BB299E732F10655139056B72C28AA7AD478BD876D0537E
Servidor de control y comando
- ps.okyesmobi[.]com:8802
Despreciados suscriptores