Sumergiéndonos en las profundidades de Vidro

Ya no nos sorprende que aparezca una nueva familia de malware para Android. En especial cuando hablamos de troyanos SMS, que son una de las amenazas más populares y antiguas para robar dinero a los usuarios. La nueva familia de troyanos SMS Vidro apareció hace pocos días, pero ya hemos conseguido muchos archivos APK con una funcionalidad muy similar. Por el momento, todos los ejemplares que encontramos atacan sólo a los usuarios en Polonia.

Distribución

Trojan-SMS.AndroidOS.Vidro se propaga mediante sitios web pornográficos. El mecanismo que utiliza es muy parecido al del primer malware para Android (Trojan-SMS.AndroidOS.FakePlayer). Si el usuario ingresa en un sitio pornográfico con un navegador de escritorio, aparece una ventana como esta:

Pero si la víctima ingresa en el mismo sitio web desde un dispositivo Android, el sitio pornográfico se “optimiza” para el Smartphone:

Cuando pulsa en el enlace “ver ahora”, se lo redirige al sitio web “Vid4Droid” (vid4droid.com), que propone a la víctima que descargue la aplicación ‘The new Sexvideo’:

Un click en el botón ‘Instalar’ redirige a la víctima a una página que inicia una descarga de forma automática con instrucciones sobre ‘cómo-instalar-nuestra-super-app-porno’ y recuerda al usuario que debe permitir la instalación de aplicaciones de fuentes desconocidas:

Descripción de Vidro

Cuando Vidro se instala, aparece el siguiente icono en el menú principal:

Si la víctima ejecuta el malware, lo primero que verá es la ventana de diálogo que lo invita a aceptar los términos y condiciones.

Pero lo ‘gracioso’ es que no se muestran los términos y condiciones de uso del producto. En otras palabras, aunque las condiciones existan, no es posible leerlas. Después de aceptar, se envía un mensaje SMS a un número Premium desde el teléfono del usuario. El número Premium es 72908 (polaco) y el SMS dice PAY {secuencia única de números y letras}. Cada mensaje cuesta 2 zl (0,5 €). Más tarde hablaremos del SMS. Los mensajes se envían cada 24 horas. Toda la información que se necesita para enviar los caros SMS está almacenada en el archivo de configuración -setting.json-.

Vidro también puede esconder los mensajes SMS entrantes de números específicos. Ya habíamos visto esta funcionalidad en troyanos como Foncy y Mania.

Además de enviar mensajes caros, Vidro puede:

• Actualizar el archivo de configuración (que puede contener un nuevo número Premium y texto SMS) y actualizarse a sí mismo. El malware utiliza su propia cadena de caracteres User-Agent para conectarse a un servidor remoto. “Mozilla/5.0 (Linux; U; {app_id}; {android_version}; de-ch; Vid4Droid) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30”.
• Subir información sobre sí mismo y el aparato infectado a un servidor remoto

Proveedor de contenidos y red afiliada

Si buscas ‘72908’ (el número Premium de Vidro) en Google, encontrarás un foro polaco con quejas sobre este número.

Traducción:

“¿Cómo elimino ‘carmunity’ del número 72908? Ayúdenme.”

“Debe ser algún tipo de virus, este SMS se envía del teléfono, es mejor desactivar el número con tu proveedor GSM para dejar de enviar y recibir sus mensajes”.

“Quiero desactivarlo”.

Profundicemos sobre el dominio vid4droid.com. Según Robtex, dos nombres de dominio de carmunity.de controlan este dominio; y el servidor de correos vid4droid.com se maneja en tecmedia.eu.

Hay varios alojamientos (como ‘sex-goes-mobile.biz’, ‘sexgoesmobile.biz’, ‘sexgoesmobil.com’ y otros similares) que comparten el servidor de nombres y de correos con este dominio. Si visitas uno de estos alojamientos te redirigen al sitio web sexgoesmobile.com.

Carmunity

Carmunity es un proveedor de contenidos y servicios que “ofrece un despliegue de soluciones técnicas y creativas para que los negocios generen y apliquen sus propios portales en Internet móvil”. Esta cita proviene de la versión en inglés de su sitio web (carmunity.de).

Página principal del sitio web de Carmunity

La información de contacto incluye la dirección física de esta compañía. Según esto, Carmunity se encuentra en la calle Mary-Astell, Bremen. 2. Si buscas esta dirección en Google descubrirás que otra compañía alemana, Displayboy, tiene la misma dirección física. ¿Qué sabemos de esta organización? Estas son algunas citas de su sitio web displayboy.com (que no tiene versión en alemán, sólo en inglés):

“Bienvenido a DisplayBoy – líder en mercadotecnia de sitios para adultos en Internet móvil”.

“Ahora mismo, entre el 5% y 10% de los usuarios de sitios web para adultos navegan en la red desde sus teléfonos móviles. Con Displayboy puedes aumentar tu tráfico móvil en un dos por tres”. Es fácil, simple y confiable”.

¿Carmunity y Displayboy tienen algo en común? Yo creo que sí 🙂 Por lo menos, ambas compañías ganan dinero con el tráfico de teléfonos móviles.

SexGoesMobile

Como mencionamos antes, algunos nombres de alojamiento utilizan los servidores de dominio y servidores de correos vid4droid.com. Y si intentas visitarlos, te redirigen a sexgoesmobile.com. Esta es una parte de la página principal de este sitio web:

Sí, es una red afiliada creada para ganar dinero con el tráfico de contenido para adultos desde los teléfonos móviles. Y contiene algunas cosas interesantes. Veamos lo que podemos encontrar.

Muchas redes móviles afiliadas (por lo menos las rusas) ofrecen acceso completo a lo que denominan ‘herramientas promocionales’ a todos los participantes. La red afiliada SexGoesMobile también ofrece varias ‘herramientas promocionales’. Por ejemplo, puedes crear un sitio web de pago para móviles utilizando uno de los siguientes patrones:

Cada patrón tiene su propio nombre de dominio. Cada afiliado que participa en SexGoesMobile tiene una identificación. Después de escoger el patrón, el afiliado puede escoger su audiencia (‘móvil’ o ‘de escritorio’):

Por último, el afiliado puede generar una URL única con su identificación:

Si la víctima potencial pulsa en este enlace único, aparece en el sitio web exgftube.mobi, que muestra vistas previas de videos falsos. Si el usuario pulsa en alguno de estos videos, lo redirigirán al sitio web vid4droid.com, donde le pedirán que descargue un archivo vid4droid.apk (Trojan-SMS.AndroidOS.Vidro). ¿Recuerdas el formato del SMS en este malware? PAY {secuencia única de números y letras}. Esta secuencia única de números y letras se genera en un servidor malicioso remoto basado en datos del afiliado (una URL única con la identificación del afiliado). En otras palabras, cada afiliado ‘tiene’ su propio troyano SMS con un texto SMS único.

Conclusión

La industria del malware y de los servicios maliciosos para teléfonos móviles sigue evolucionando. Hace un par de años, las redes móviles afiliadas casi siempre eran rusas. Ahora vemos que están apareciendo en otros países. Por desgracia, estas redes se han vuelto muy efectivas y son una forma fácil de propagar malware para teléfonos móviles y ganar dinero de forma ilícita. Y la ‘migración’ de redes afiliadas causará nuevas infecciones y grandes pérdidas de dinero no sólo en Rusia, también en otros países.