Tic Tac Toe retorcido

Son tan comunes los intentos de los ciberdelincuentes de camuflar sus programas maliciosos como aplicaciones útiles que hasta se han estereotipado. Sin embargo, los creadores de Gomal, un nuevo troyano móvil, no sólo han alcanzado un nuevo nivel de camuflaje al añadir el juego Tic Tac Toe a su programa malicioso, sino que también han implementado interesantes técnicas, novedosas para este tipo de malware.

Todo comenzó con un juego de Tic Tac Toe que nos enviaron para que lo analicemos. A primera vista, la aplicación parecía bastante inofensiva:

Sin embargo, la lista de permisos que el juego pedía levantó nuestras sospechas. ¿Para qué necesitaba acceder a Internet, los contactos archivo SMS del usuario, o procesar llamadas y grabar sonidos? Analizamos el ‘juego’ y resultó ser un programa spyware multipropósito. Los productos de Kaspersky Lab detectan esta aplicación maliciosa como Trojan-Spy.AndroidOS.Gomal.a.

Un detallado análisis del programa malicioso nos demostró que el código del juego apenas representa el 30% del tamaño del archivo ejecutable. El resto son funciones para espiar al usuario y robarle sus datos personales.

En verde, el código del juego; en rojo las funciones maliciosas remarcadas

¿De qué funciones se trata? Primero, el programa malicioso tiene funciones para grabar sonidos, lo que ahora es común en el spyware móvil:

También posee funciones para robar SMSs:

Además, el troyano recopila información sobre el dispositivo y envía todos los datos recopilados al servidor de su dueño. Pero Trojan-Spy.AndroidOS.Gomal.a oculta algo realmente curioso bajo la manga: un paquete de interesantes librerías que se distribuyen junto al programa malicioso.

El paquete incluye un exploit que sirve para obtener privilegios de raíz en el dispositivo Android. Los privilegios ampliados le dan a la aplicación acceso a varios servicios que Linux brinda (el sistema operativo en el que se basa Android), incluyendo la capacidad de leer registros de memoria y /maps.

Después de obtener el acceso de raíz, el troyano empieza a funcionar. Por ejemplo, roba mensajes de correo de Good for Enterprise, si es que la aplicación está instalada en el smartphone. Esta aplicación es conocida como un cliente seguro de correo para uso corporativo, de manera que si sufre el robo de datos, significaría graves problemas para la compañía en la que trabaja el dueño del dispositivo atacado. Para atacar a Good for Enterprise, el troyano usa la consola para obtener la ID de los procesos relevantes (comando ps) y lee el archivo virtualš /proc/<pid>/maps. El archivo contiene información sobre los bloques de memoria asignados a la aplicación.

Después de obtener la lista de los bloques de memoria, el programa malicioso encuentra el bloque [heap] que contiene la cadena de datos de la aplicación y crea su archivo de volcado usando otra librería de su paquete.

A continuación, este archivo de volcado se analiza en busca de firmas características de mensajes de correo, y los mensajes encontrados se envían al servidor de los ciberpiratas.

Gomal también roba datos de Logcat, el servicio de registro incorporado en Android y que se usa para depurar la aplicación. Muy a menudo, los desarrolladores hacen que sus aplicaciones muevan datos confidenciales a Logcat, incluso después del lanzamiento de las aplicaciones. Esto le permite al troyano robar incluso más datos confidenciales de otros programas.

En consecuencia, el aparentemente inofensivo juego Tic Tac Toe les permite a los ciberdelincuentes acceder a una gran cantidad de datos personales del usuario y datos corporativos que pertenecen a su compañía. Las técnicas que usa Gomal estaban en un principio implementadas en troyanos para Windows, pero ahora, como podemos ver, también lo están en programas maliciosos para Android. Y, lo que es más peligroso, los principios en los que se basa esta técnica pueden usarse para robar datos de otras aplicaciones además de Good for Enterprise; es posible que en un futuro próximo aparezcan programas maliciosos móviles diseñados para atacar a conocidos clientes de mensajes de correo, clientes de mensajes de texto, y a otros programas.

Complemento:

Trojan-Spy.AndroidOS.Gomal.a usa una versión antigua del exploit, que funciona en los dispositivos Samsung con versión del sistema operativo 4.0.4 y anteriores. Por lo tanto, en los dispositivos con nuevo firmware, los ataques lanzados con esta versión del malware contra los programas de correo corporativo no tendrán éxito.
Hasta el momento no hemos registrado intentos de infectar a nuestros usuarios con el troyano Gomal. A pesar de que este ejemplar todavía no está difundido en el mundo real, nuestros productos lo pueden detectar, para evitar en el futuro ataques de malware móvil que puedan crearse basándose en esta prueba de concepto.