Google Play ha estado difundiendo malware avanzado para Android durante años

Google Play ha estado difundiendo malware avanzado para Android durante años

Los hackers han estado usando Google Play durante años para distribuir una puerta trasera inusualmente avanzada que puede robar una amplia gama de datos confidenciales, dijeron los investigadores el martes.

Investigadores de la firma de seguridad Kaspersky Lab han recuperado al menos ocho aplicaciones de Google Play que datan de 2018, dijo un representante de Kaspersky Lab, pero según la investigación de archivo y otros métodos, los investigadores creen que las aplicaciones maliciosas del mismo grupo Advanced ha sembrado el mercado oficial de Google desde al menos 2016.

Google eliminó las versiones recientes del malware poco después de que los investigadores de Kaspersky, y el socio de seguridad anterior Dr. Web, lo informaran. Las aplicaciones anteriores ya se habían eliminado y no está claro qué impulsó la transferencia. Los mercados de terceros también han alojado aplicaciones de puerta trasera y muchas de ellas siguen disponibles.

Los dominios de comando y control se registraron ya en 2015, lo que aumenta la posibilidad de que la operación se remonte antes de 2016. Código en servidores de malware y comando que se conecta para contener varias superposiciones con un grupo de piratería conocido llamado OceanLotus (también conocido como APT32, APT-C-00 y SeaLotus), lo que lleva a los investigadores a creer que las aplicaciones son el trabajo de ese grupo avanzado.

Omitiendo repetidamente los controles de seguridad de Google

Los atacantes detrás de la campaña utilizaron varias técnicas efectivas para evadir repetidamente el proceso de verificación utilizado por Google en un intento de mantener las aplicaciones maliciosas fuera del juego. Inicialmente, un método era enviar una versión benigna de una aplicación y agregar la puerta trasera solo después de aceptar la aplicación. Otro enfoque fue solicitar poca o ninguna autorización durante la instalación y luego solicitarlas dinámicamente usando código oculto dentro de un archivo ejecutable. Una de las aplicaciones recientes ha sido diseñada para limpiar el navegador.

Con el tiempo, las aplicaciones proporcionaron una puerta trasera que recopiló datos en el teléfono infectado, incluido el modelo de hardware, la versión de Android en ejecución y las aplicaciones instaladas. Según esa información, los atacantes podrían usar aplicaciones maliciosas para descargar y ejecutar cargas maliciosas específicas para un dispositivo infectado en particular. Las cargas útiles pueden recopilar ubicaciones, registros de llamadas, contactos, mensajes de texto y otra información confidencial.

Al personalizar las cargas útiles y no cargar un dispositivo con componentes innecesarios, los atacantes pudieron evadir la detección. En un instante, una aplicación posterior contenía la carga maliciosa en el APK descargado.

«Nuestra teoría principal sobre las razones de todas estas maniobras de control de versiones es que los atacantes están tratando de usar diferentes técnicas para lograr su objetivo clave, evitar los filtros oficiales del mercado de Google», escribieron los investigadores de Kaspersky en una publicación. Laboratorio Alexey Firsh y Lev Pikman. «Y lo hicieron, ya que esta versión también pasó los filtros de Google y se subió a Google Play Store en 2019».

Los funcionarios de Google se negaron a decir cómo, o incluso si la empresa está trabajando para evitar que las aplicaciones maliciosas utilicen las técnicas descritas para eludir el proceso de verificación de la aplicación. En cambio, los funcionarios publicaron una declaración que decía: «Siempre estamos trabajando para mejorar nuestras habilidades de detección. Apreciamos el trabajo de los investigadores al compartir sus hallazgos con nosotros. Desde entonces hemos tomado medidas contra todas las aplicaciones que han identificado».

Enter PhantomLance

La mayoría de las aplicaciones contenían características que requieren la raíz del teléfono. Esto requeriría ejecutar aplicaciones en dispositivos con vulnerabilidades de enrutamiento conocidas o para que los atacantes exploten fallas que aún no son conocidas por Google o el público en general. Los investigadores de Kaspersky Lab no encontraron exploits de escalada de privilegios locales en las propias aplicaciones, pero no descartaron la posibilidad de que tales ataques fueran utilizados. En un correo electrónico, un investigador escribió:

Sin embargo, hay una característica importante, que puede responder parcialmente a esta pregunta: el malware puede descargar y realizar cargas adicionales desde servidores c2. Entonces, el siguiente escenario es posible: al principio podrían robar algún tipo de información del dispositivo, como la versión del sistema operativo, la lista de aplicaciones instaladas, etc. Entonces, según esta información inicial, si este dispositivo infectado en particular parece atractivo para exfiltrarse, los atacantes podrían enviar una carga útil específica adecuada para su versión de Android que podría explotarse, por ejemplo, LPE. No pudimos obtener ninguna de estas cargas útiles; Como dije, estos tipos son bastante buenos en OPSEC, por lo que no podemos confirmar cómo son exactamente estas cargas útiles.

Otra novedad que atestigua el refinamiento de la aplicación: cuando los privilegios de root son accesibles, el malware utiliza una llamada de reflexión a una interfaz de programación no documentada llamada «setUidMode» para obtener los permisos sin requerir la participación del usuario. Las aplicaciones identificadas por Kaspersky Lab incluyen:

Nombre del paquete Fecha de persistencia de Google Play (al menos)
com.zimice.browserturbo 06/11/2019
com.physlane.opengl 07/10/2019
com.unianin.adsskipper 12/26/2018
com.codedexon.prayerbook 08/20/2018
com.luxury.BeerAddress 08/20/2018
com.luxury.BiFinBall 08/20/2018
com.zonjob.browsercleaner 08/20/2018
com.linevialab.ffont 08/20/2018

Los investigadores de Kaspersky Lab han apodado la campaña PhantomLance. Con base en las superposiciones mencionadas anteriormente, los investigadores tienen una confianza promedio en que la serie de ataques de varios años son obra de OceanLotus. Los investigadores dicen que el grupo ataca principalmente a gobiernos asiáticos, disidentes y periodistas, con un enfoque en objetivos que son adversos a los intereses de Vietnam. Los nombres de las aplicaciones y otras cadenas están escritas en vietnamita. Los informes anteriores sobre OceanLotus están aquí, aquí y aquí.

Esta no es la primera vez que los piratas informáticos avanzados con vínculos con gobiernos ricos utilizan Play para difundir malware. A principios de este año, los investigadores descubrieron aplicaciones de Google Play desarrolladas por SideWinder, el nombre en clave de un grupo de piratería maliciosa que se ha dirigido a entidades militares desde al menos 2012. En 2019, Egipto utilizó el mercado oficial de Google para infectar a sus ciudadanos.

Hay pocas posibilidades de que personas fuera de un rango muy reducido de datos demográficos se hayan infectado con este grupo. Aquellos que quieran verificar solo para asegurarse pueden encontrar los indicadores de las aplicaciones comprometidas en la publicación mencionada anteriormente ubicada aquí.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *