Artículo: TrendLabs Security Intelligence BlogNew SmsSecurity Variant Roots Phones, Abuses Accessibility Features and TeamViewer – TrendLabs Security Intelligence Blog

http://blog.trendmicro.com/trendlabs-security-intelligence/new-smssecurity-variant-roots-phones-abuses-accessibility-features-teamviewer/

Traducción Google:

En enero de 2016, encontramos varias«SmsSecurity» aplicaciones móviles que decían ser de varios bancos . Estas aplicaciones supuestamente generan contraseñas de un solo uso (OTP) que los titulares de cuentas podrían utilizar para conectarse en el banco; en cambio, resultó ser aplicaciones maliciosas que robaron cualquier contraseña enviada a través de mensajes SMS.Estas aplicaciones también fueron capaces de recibir órdenes de un atacante remoto, lo que les permite tomar el control del dispositivo de un usuario.

Desde entonces, hemos encontrado algunas nuevas variantes de este ataque que añaden nuevas capacidades maliciosos. Estas capacidades incluyen: medidas anti-análisis, enraizamiento automático, detección de idioma, y ​​el acceso remoto a través de TeamViewer. Además, SmsSecurity ahora utiliza hábilmente las características de accesibilidad de Android para ayudar a llevar a cabo sus rutinas de manera sigilosa, sin interacción por parte del usuario.Detectamos estas aplicaciones maliciosas como ANDROIDOS_FAKEBANK.OPSA.

Prevención de manipulación a través de dispositivos Banderas

Las nuevas variantes que hemos visto se han diseñado para no funcionar en emuladores. Esta es la intención de hacer el análisis de estas muestras más difícil. ¿Como hace esto? Se comprueba el  build.prop archivo, que contiene las propiedades de generación de la versión de Android instalado en el dispositivo. Estas variantes comprobar los valores en  build.prop como producto, la marca y el dispositivo para ver si se están ejecutando en un dispositivo físico real o un emulador.

Figura 1. Código de pruebas para los emuladores

Uno puede ver cómo el código prueba para dispositivos anteriores «genéricas» que es probable que sean los emuladores. Si se está ejecutando en una sola, no va a ejecutar cualquier código malicioso para evitar las herramientas de análisis dinámicos.

Figura 2. Código prevención de ejecución en emuladores

Habilitación de servicios de accesibilidad / controles de administrador de dispositivos

Después de correr, se le pedirá al usuario activar los servicios de accesibilidad para la aplicación maliciosa.Esto le permite simular las acciones del usuario, como toques de la pantalla.

Figura 3. Activar los servicios de accesibilidad para SmsSecurity

La aplicación maliciosa intentará descargar y ejecutar una herramienta de terceros enraizamiento:

Figura 4. Código herramienta de enraizamiento descargan

El servicio de accesibilidad supervisará la actividad denominadacom.shuame.rootgenius.ui.homepage.HomepageActivity , que es la actividad principal de la herramienta de enraizamiento. Si encuentra esta actividad, el servicio de accesibilidad va a encontrar y haga clic en un botón en la actividad que se inicia el proceso de enraizamiento.

Después de conseguir acceso root, la aplicación maliciosa intentará modificar el oom_adj  ajuste del valor de su archivo de proceso para evitar que el sistema matarlo debido a baja memoria.

Las figuras 5 y 6. Valor Código modificación de oom_adj

El servicio de accesibilidad intentará activar la aplicación maliciosa como un administrador del dispositivo sin informar al usuario. Para ello, el intento de hacer clic en el botón «Activar» que se encuentra dentro de la aplicación configuración de este.

Figura 7. Código de intentar obtener acceso de administrador

Soporte de TeamViewer

En esta etapa las nuevas variantes SmsSecurity instalarán una aplicación TeamViewer QuickSupport en el dispositivo. Esta es una herramienta de acceso remoto que se supone que debe ser utilizado por equipos de asistencia técnica para ayudar a los usuarios en sus dispositivos móviles. En este caso, se usa en cambio por un atacante tomar el control del dispositivo del usuario.

Figura 8. Código para la instalación de TeamViewer QuickSupport (clic para ampliar)

Para conectarse al dispositivo afectado, el atacante tiene que leer el ID de TeamViewer, que se muestra al usuario en el dispositivo. El servicio de accesibilidad lee esta ID, que permite al atacante para controlar el dispositivo de forma remota. Esto se almacena junto con las otras preferencias en un archivo compartido, al igual que las versiones anteriores de SmsSecurity.

Figura 9. ID de TeamViewer está visualizando

Figura 10. almacenado ID de TeamViewer (clic para ampliar)

En este ejemplo se comprueba si el botón «Activar» en varios idiomas, incluyendo Inglés, alemán, francés e italiano. Esto pone de relieve cómo las versiones actuales comprobar el botón de activación en múltiples sistemas operativos.

Objetivos y Conclusión

Una amplia variedad de bancos en Austria, Hungría, Rumania y Suiza han sido blanco de este ataque.(Muchos de los bancos suizos dirigidos en este ataque son los bancos cantonales .) Los siguientes bancos fueron el blanco de estos ataques:

  • Aargauische Kantonalbank
  • Bank Austria
  • Banco Cantonal de Friburgo
  • BKB Banco
  • Credit Suisse
  • Erste Bank
  • Glarner Kantonalbank
  • Luzerner Kantonalbank
  • Ober Banco
  • Obwaldner Kantonalbank
  • Raiffeisen Bank
  • Schaffhauser Kantonalbank
  • Volksbank
  • Zürcher Kantonalbank

La relativamente amplia distribución geográfica de estos objetivos podría explicar el carácter multilingüe de sus rutinas, ya que los clientes específicos pueden tener fluidez en varios idiomas.

Estas nuevas variantes SmsSecurity representan una evolución en las capacidades de SmsSecurity. El uso de las funciones de accesibilidad de Android para implementar rutinas maliciosas es una nueva forma de llevar a cabo la actividad automatizada que bien puede ser imitado por otras familias de virus móviles en el futuro. Aplicaciones de seguridad como Trend Micro Mobile Security  protegen contra estas amenazas mediante la detección de estas aplicaciones maliciosas.

Los indicadores de Compromiso (IOC)

La siguiente-mando y control servidores (C & C) fueron utilizados por estas variantes:

  • hxxp: //clubk-ginza.net/css/3.php
  • hxxp: //edda-mally.at/css/3.php
  • hxxp: //gruposoluciomatica.com.br/os3/inc/main.php
  • hxxp: //izmirsatranckursu.net/includes/main.php
  • hxxp: //jbrianwashman.com/images/photo26962/main.php
  • hxxp: //losbalonazos.com/wp-admin/3.php
  • hxxp: //moseybook.com/blog/wp-includes/main.php
  • hxxp: //naritamemorial.com/analog/3.php
  • hxxp: //pplweb.pplmotorhomes.com/includes/main.php
  • hxxp: //sedalbi.com/img/main.php
  • hxxp: //szaivert-numis.at/standardbilder/dll/3.php
  • hxxp: //www.ircvenezia.it/free/main.php
  • hxxp: //www.oguhtell.ch/cart/3.php
  • http://www.santamariagorettimestre.it/img/main.php
  • http://www.vanca.com/media/3.php

Las aplicaciones maliciosas son detectados como ANDROIDOS_FAKEBANK.OPSA, y tienen la siguiente SHA1 hashes:

  • 323bf07667bf9d65055f80a15a90508e99e05632
  • d84353986ee05ac61308063271ade3f8f2876ef9
  • 8d0dfd97194f8aef5a15f16e2d410af1f3dcfeae
The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.