Troyano Android detectado en ataque dirigido

Kurt Baumgartner
Denís Máslennikov

Ya hemos visto ataques dirigidos contra activistas tibetanos y uigures, en las plataformas Windows y Mac OS X. Hemos documentado varios ataques interesantes (Un regalo de cumpleaños para el Dalai Lama y Se intensifican los ciberataques contra los usuarios uigures de Mac OS X) que usaban archivos ZIP, DOC, XLS y PDF cargados con exploits.

Hace varios días hackearon la cuenta de correo electrónico de un importante activista tibetano y la usaron para enviar ataques dirigidos contra otros activistas y defensores de los derechos humanos. Quizás lo más interesante es que los mensajes de correo usados en el ataque tenían un adjunto APK, un programa malicioso para Android.

El ataque

El 24 de marzo hackearon la cuenta de correo electrónico de un importante activista tibetano que se usó para enviar mensajes de correo tipo spear phishing a sus contactos. Así se ve el mensajes spear phishing:

Respecto al mensaje de texto de arriba, varios grupos de activistas han organizado recientemente una conferencia sobre derechos humanos en Ginebra. Hemos notado un aumento en la cantidad de ataques que usan este acontecimiento como carnada. A continuación ofrecemos otro ejemplo de este tipo de ataque contra usuarios de Windows:

El archivo Android Package (APK) adjunto al mensaje de correo instala una aplicación Android llamada “WUC’s Conference.apk”.

Este APK malicioso es un archivo de 334326 bytes, MD5: 0b8806b38b52bebfe39ff585639e2ea2 y los productos de Kaspersky Lab lo detectan como “Backdoor.AndroidOS.Chuli.a”.

Después de instalarse, aparece en el escritorio una aplicación llamada “Conference”.

Si la víctima la ejecuta, aparecerá un texto que “aclara” la información sobre el acontecimiento:

El texto dice lo siguiente. Observemos el uso erróneo de la palabra “Word” en vez de “World” (mundo):

“En nombre de Word Uyghur Congress (WUC), de Unrepresented Nations and Peoples Organization (UNPO), y de Society for Threatened Peoples (STP), Derechos humanos en China: Consecuencias para el Turkestán oriental y Mongolia del sur.
En lo que ha sido una reunión sin precedentes de los principales activistas uigures, mongoles, tibetanos y chinos, y otros reconocidos expertos internacionales, con gran humildad, entusiasmo, contribución y deseo de parte de todos los asistentes para que esta ocasión sea muy significativa y cuyos resultados sean soluciones concretas y activas a nuestros sufrimientos compartidos. Nos complace enormemente la plataforma y programa de trabajo establecidos en la declaración de la conferencia y esperamos sinceramente que se construya una sólida y decidida relación de trabajo sobre nuestras metas compartidas para el futuro. Con esto en mente, esperamos ansiosamente la oportunidad de trabajar juntos en estos asuntos.
Dolkun lsa
Presidente del Comité ejecutivo
Word Uyghur Congress”

Mientras la víctima lee este mensaje falso, el programa malicioso informa, en secreto, de la infección a un servidor de comando y control. Después, comienza a recopilar la información guardada en el dispositivo. Entre los datos confidenciales robados, se encuentran:

• Contactos (almacenados en el teléfono y en la tarjeta SIM).
• Registros de llamadas.
• Mensajes SMS.
• Localización geográfica.
• Datos del teléfono (número telefónico, versión del sistema operativo, versión SDK).

Hay que tomar en cuenta que los datos no se envían automáticamente al servidor de comando y control. El troyano espera que lleguen mensajes SMS (“alarmReceiver.class”) y verifica si contienen uno de los siguientes comandos: “sms”, “contact”, “location”, “other”. Si encuentra uno de ellos, entonces el programa malicioso codifica los datos robados con Base64 y los envía al servidor de comando y control. La URL del servidor de comando y control es:

hxxp://64.78.161.133/*número_de_celular_de_la_víctima*/process.php

Además, el programa malicioso también informa a otro script: “hxxp://64.78.161.33/android.php”. Primero, obtiene la variable “nativenumber” desde el valor “telmark” de “AndroidManifest.xml”. Esto se codifica y significa “phone”. Después, añade el resultado del método público localDate.getTime(),que sólo obtiene la fecha actual. Un ejemplo del hilo que se envía al servidor de comando y control es: “phone 26.03.2013”.

Es interesante que los hackers usaran la biblioteca Java Base64 desarrollada por Sauron Software. Este software es gratuito y se distribuye bajo licencia LGPL.

Asimismo, las comunicaciones del servidor de comando y control con el programa malicioso se analizan con una función llamada “chuli()” antes de enviar los datos robados al servidor de comando y control. Al parecer, los atacantes conocen el lenguaje y la cultura montañista de sus blancos, pues “chuli” significa “cumbre”.

El servidor de comando y control y los parámetros pueden verse fácilmente en el código fuente descompilado:

Código de interacción del servidor de comando y control

En este código, los atacantes registran todas las actividades importantes, que incluyen varios mensajes en chino, quizás con fines depurativos, lo que indica que el programa malicioso puede ser una versión prototipo inicial. Algunas acciones incluyen:

El servidor de comando y control

Este servidor está localizado en la IP 64.78.161.133, que a su vez se encuentra en Los Ángeles, EE.UU., en una compañía de hosting llamada “Emagine Concept Inc”.

Curiosamente, hay un dominio que dirigía allá: “DlmDocumentsExchange.com”. Este dominio se registró el 8 de marzo de 2013.
Servicio de registro proporcionado por: SHANGHAI MEICHENG TECHNOLOGY INFORMATION DEVELOPMENT CO., LTD.
Nombre de dominio: DLMDOCUMENTSEXCHANGE.COM
Fecha de registro: 08-Mar-2013
Fecha de expiración: 08-Mar-2014
Estado:BLOQUEADO

La fecha de registro del dominio señala al siguiente propietario:
Detalles de contacto del registrante:
peng jia
peng jia (bdoufwke123010@gmail.com)
beijingshiahiidienquc.d
beijingshi
beijing,100000
CN
Tel. +86.01078456689
Fax. +86.01078456689

El servidor de comando y control aloja una página índice que también sirve un archivo APK:

El mencionado “Document.apk” tiene un tamaño de 333583 bytes, MD5: c4c4077e9449147d754afd972e247efc. Tiene la misma funcionalidad que el que acabamos de describir, pero contiene un texto distinto. El nuevo texto (en chino, sobre las relaciones entre China y Japón sobre las disputadas “Islas Senkaku / Islas Diaoyudao / Islas Diaoyutai”) aparece ante la víctima y dice:

La página índice aparece así cuando se abre en un navegador:

El texto en la parte superior significa “Título Título Título” en chino, mientras que los otros hilos parecen caracteres aleatorios escritos mediante un teclado.
Curiosamente, el servidor de comando y control incluye una interfaz de acceso abierto para trabajar con las víctimas:

Algunos de los comandos (traducción aproximada):

El servidor de comando y control funciona con Windows Server 2003 y está configurado para el idioma chino:

Esto, junto a los registros, es un indicador inequívoco de que los atacantes son de habla china.

Conclusiones

Cada día se detectan cientos, si no miles, de ataques dirigidos contra los activistas tibetanos y uigures. La gran mayoría de estos ataques están dirigidos contra plataformas Windows mediante documentos Word que explotan vulnerabilidades conocidas, como CVE-2012-0158, CVE-2010-3333 y CVE-2009-3129.

En este caso, los atacantes hackearon la cuenta de un activista tibetano y la usaron para atacar a activistas uigures. Esto indica la posibilidad de una interesante tendencia que explota las relaciones de confianza entre estas dos comunidades. Esta técnica nos recuerda la combinación de las antiquísimas estrategias bélicas “Divide y reinarás” y “Mediante engaño”.

Hasta ahora, no hemos detectado ataques dirigidos contra teléfonos móviles, aunque hemos visto indicios de que se encontraban en desarrollo.

Este ataque se hizo infectando el equipo de un importante activista tibetano. Se trata, quizás, del primero de una nueva ola de ataques dirigidos contra los usuarios de Android. Hasta el momento, los atacantes usaron sólo técnicas de ingeniería social para infectar a sus víctimas. La historia nos ha enseñado que, en algún momento, estos ataques usarán vulnerabilidades día-cero, exploits o una combinación de técnicas.

Por ahora, la mejor protección consiste en evitar cualquier adjunto APK que llegue a teléfonos móviles mediante mensajes de correo.

Detectamos el programa malicioso usado en este ataque como “Backdoor.AndroidOS.Chuli.a”.
MD5s:
c4c4077e9449147d754afd972e247efc Document.apk
0b8806b38b52bebfe39ff585639e2ea2 WUC’s Conference.apk