Nuevo ZitMo para Android y Blackberry

Nuevo ZitMo para Android y Blackberry
Denis
Kaspersky Lab Expert
Posted August 07, 12:54 GMT
Tags: Mobile Malware, Google Android, ZeuS
0.1

Hace diez meses publicamos un artículo sobre ZeuS-in-the-Mobile con un vistazo general de todo lo que sabíamos sobre ZitMo. El artículo termina con la siguiente predicción: ‘Lo más probable es que [los ataques de ZitMo] tengan carácter estrictamente local y afecten a un pequeño número de víctimas’. Parece que no nos equivocamos. No aparecen nuevas olas de ataques de ZeuS-in-the-Mobile (o SpyEye-in-the-Mobile) muy a menudo. Por eso, cada dato sobre este tipo de malware y ataques es muy importante y nos ayuda a comprender la evolución de una de las amenazas más interesantes en el espacio móvil. Un pequeño recordatorio: ZeuS-in-the-Mobile tiene casi 2 años. En esta entrada hablaremos sobre los nuevos ejemplares (y probablemente nuevas olas de ataque) de ZitMo para Android y Blackberry.

Datos generales sobre los nuevos ejemplares

Tenemos cinco archivos nuevos de ZitMo: 4 para Blackberry y 1 para Android. Como sabes, la plataforma Blackberry nunca ha sido el objetivo de ataques de malware. Y de pronto tenemos cuatro ejemplares diferentes de ZeuS-in-the-Mobile para Blackberry que atacan a la vez: tres archivos .cod y un archivo .jar (con un .cod adicional dentro). Sí, al fin apareció un archivo dropper ZitMo para Blackberry.

Android sólo tiene un dropper .apk. Pero este ZeuS-in-the-Mobile para Android se ha modificado, y ahora se ve como un ZitMo “clásico” con los mismos comandos y lógica.

Países y números de Comando y Control (C&C)

Todos los ejemplares de ZitMo que hemos visto hasta ahora atacan a los usuarios de países europeos (España, Polonia, Alemania, etc.). Este caso no es la excepción. A continuación puedes ver una lista de países a los que ataca ZeuS-in-the-Mobile, con el número de C&C de cada ejemplar.

Blackberry:

• Alemania +46769436094
• España +46769436073
• Italia +46769436073
• España +46769436073

Android

En resumen, hay tres países (Alemania, España e Italia) y dos números C&C (ambos son suecos). Descubrimos que estos números de teléfono pertenecen al operador de móviles sueco Tele2.

ZitMo para Blackberry

El análisis de los nuevos archivos ZitMo para Blackberry mostró que no se hicieron grandes cambios. Los escritores de virus corrigieron por fin un error gramatical en la frase de confirmación en inglés ‘App Instaled OK’ (debería escribirse ‘Installed’) que se envía por SMS al número de teléfono móvil C&C cuando se infecta un smartphone. En vez de los comandos ‘BLOCK ON’ y ‘BLOCK OFF’ (que bloquean o desbloquean todas las llamadas entrantes y salientes) ahora hay comandos ‘BLOCK’ y ‘UNBLOCK’. Otros comandos que se reciben por SMS siguen iguales. aquí hay una lista de comandos y sus significados.

ZitMo para Android

No nos sorprende que ZitMo para Android se haga pasar por una aplicación con nombre ‘Zertificat’ (com.security.service). Muchas versiones de ZeuS-in-the-Mobile se hacían pasar por ‘actualizaciones de certificados’ o aplicaciones de ‘seguridad’.

ZitMo ‘Zertificat’ después de la instalación

Si el usuario ejecuta una aplicación maliciosa, aparece un texto en alemán:

‘Instalación exitosa. Tu código de activación es 7725486193’-

El texto emergente desaparece después de que se pulsa en el botón ‘OK’, pero la aplicación maliciosa sigue operando en el fondo. Es muy importante mencionar que el mismo mensaje se guarda en uno de los ejemplares de Blackberry:

La situación con el nuevo archivo Android ZitMo es diferente a la de Blackberry. En nuestros anteriores artículos y entradas sobre ZitMo mencionamos que ZeuS-in-the-Mobile para Android es mucho más primitivo que las versiones para otras plataformas como Symbian, Windows Mobile o Blackberry. Pero, en este caso, la situación ha cambiado y ZitMo para Android se ha vuelto más parecido a los ejemplares ‘clásicos’ de ZeuS-in-the-Mobile.

Veamos una lista de constantes de cadenas de caracteres en el archivo Constant.class.

Podrás notar que algunas cadenas de caracteres, como ‘on’ (activa el malware), ‘off’ (desactiva el malware), ‘set admin’ (cambia el número de teléfono móvil de C&C) son familiares. Estos son comandos SMS que un número de teléfono móvil de C&C puede enviar a un dispositivo infectado por ZitMo. La lista de comandos es más corta que las de las versiones de ZeuS-in-the-Mobile para otras plataformas.

Pero los escritores de virus agregaron algo nuevo. Hay cuatro variables al final de la lista: RESPONSE_INIT, RESPONSE_OFF, RESPONSE_ON, RESPONSE_SET_ADMIN, cada una con su respectivo valor ‘INOK’, ‘OFOK’, ‘ONOK’ y ‘SAOK’. Si uno de los comandos (‘on’, ‘off’, ‘set admin’) se ejecuta con éxito, el malware enviará un SMS de respuesta (‘ONOK’, ‘OFOK’, ‘SAOK’). Y el SMS ‘INOK’ se envía después de lograr la infección con el número de C&C (el equivalente al SMS ‘App Installed OK’ de otras versiones de ZitMo).

Rutinas de envío de ‘OFOK’ y ‘ONOK’

La funcionalidad principal de ZitMo sigue siendo la misma: reenviar todos los mensajes SMS entrantes con un número de C&C. Todas las versiones para Android de ZeuS-in-the-Mobile (incluyendo esta) todavía reenvían todos los mensajes desde todos los números en vez de hacerlo desde números específicos de un banco de datos. El formato de los SMS que se envían a los C&C es el siguiente:

mensaje {cuerpo del mensaje}. F:{remitente del SMS}

¿Nueva ola de ataques?

Hay un último detalle que también es importante. Un nuevo grupo de ejemplares ZitMo no prueba que haya una nueva ola de ataques ZitMo. Pero hay una evidencia concreta que indica que se trata de una nueva ola de ataques ZitMo. Esta es una información del archivo CERT.RSA del archivo .apk de ZeuS-in-the-Mobile para Android:

Es un certificado emitido para sí mismo lo que indica que por lo menos la aplicación de Android se desarrolló hace menos de un mes.