Traducción Google:
En enero de 2016, encontramos varias«SmsSecurity» aplicaciones móviles que decían ser de varios bancos . Estas aplicaciones supuestamente generan contraseñas de un solo uso (OTP) que los titulares de cuentas podrían utilizar para conectarse en el banco; en cambio, resultó ser aplicaciones maliciosas que robaron cualquier contraseña enviada a través de mensajes SMS.Estas aplicaciones también fueron capaces de recibir órdenes de un atacante remoto, lo que les permite tomar el control del dispositivo de un usuario.
Desde entonces, hemos encontrado algunas nuevas variantes de este ataque que añaden nuevas capacidades maliciosos. Estas capacidades incluyen: medidas anti-análisis, enraizamiento automático, detección de idioma, y el acceso remoto a través de TeamViewer. Además, SmsSecurity ahora utiliza hábilmente las características de accesibilidad de Android para ayudar a llevar a cabo sus rutinas de manera sigilosa, sin interacción por parte del usuario.Detectamos estas aplicaciones maliciosas como ANDROIDOS_FAKEBANK.OPSA.
Prevención de manipulación a través de dispositivos Banderas
Las nuevas variantes que hemos visto se han diseñado para no funcionar en emuladores. Esta es la intención de hacer el análisis de estas muestras más difícil. ¿Como hace esto? Se comprueba el build.prop archivo, que contiene las propiedades de generación de la versión de Android instalado en el dispositivo. Estas variantes comprobar los valores en build.prop como producto, la marca y el dispositivo para ver si se están ejecutando en un dispositivo físico real o un emulador.
Figura 1. Código de pruebas para los emuladores
Uno puede ver cómo el código prueba para dispositivos anteriores «genéricas» que es probable que sean los emuladores. Si se está ejecutando en una sola, no va a ejecutar cualquier código malicioso para evitar las herramientas de análisis dinámicos.
Figura 2. Código prevención de ejecución en emuladores
Habilitación de servicios de accesibilidad / controles de administrador de dispositivos
Después de correr, se le pedirá al usuario activar los servicios de accesibilidad para la aplicación maliciosa.Esto le permite simular las acciones del usuario, como toques de la pantalla.
Figura 3. Activar los servicios de accesibilidad para SmsSecurity
La aplicación maliciosa intentará descargar y ejecutar una herramienta de terceros enraizamiento:
Figura 4. Código herramienta de enraizamiento descargan
El servicio de accesibilidad supervisará la actividad denominadacom.shuame.rootgenius.ui.homepage.HomepageActivity , que es la actividad principal de la herramienta de enraizamiento. Si encuentra esta actividad, el servicio de accesibilidad va a encontrar y haga clic en un botón en la actividad que se inicia el proceso de enraizamiento.
Después de conseguir acceso root, la aplicación maliciosa intentará modificar el oom_adj ajuste del valor de su archivo de proceso para evitar que el sistema matarlo debido a baja memoria.
Las figuras 5 y 6. Valor Código modificación de oom_adj
El servicio de accesibilidad intentará activar la aplicación maliciosa como un administrador del dispositivo sin informar al usuario. Para ello, el intento de hacer clic en el botón «Activar» que se encuentra dentro de la aplicación configuración de este.
Figura 7. Código de intentar obtener acceso de administrador
Soporte de TeamViewer
En esta etapa las nuevas variantes SmsSecurity instalarán una aplicación TeamViewer QuickSupport en el dispositivo. Esta es una herramienta de acceso remoto que se supone que debe ser utilizado por equipos de asistencia técnica para ayudar a los usuarios en sus dispositivos móviles. En este caso, se usa en cambio por un atacante tomar el control del dispositivo del usuario.
Figura 8. Código para la instalación de TeamViewer QuickSupport (clic para ampliar)
Para conectarse al dispositivo afectado, el atacante tiene que leer el ID de TeamViewer, que se muestra al usuario en el dispositivo. El servicio de accesibilidad lee esta ID, que permite al atacante para controlar el dispositivo de forma remota. Esto se almacena junto con las otras preferencias en un archivo compartido, al igual que las versiones anteriores de SmsSecurity.
Figura 9. ID de TeamViewer está visualizando
Figura 10. almacenado ID de TeamViewer (clic para ampliar)
En este ejemplo se comprueba si el botón «Activar» en varios idiomas, incluyendo Inglés, alemán, francés e italiano. Esto pone de relieve cómo las versiones actuales comprobar el botón de activación en múltiples sistemas operativos.
Objetivos y Conclusión
Una amplia variedad de bancos en Austria, Hungría, Rumania y Suiza han sido blanco de este ataque.(Muchos de los bancos suizos dirigidos en este ataque son los bancos cantonales .) Los siguientes bancos fueron el blanco de estos ataques:
- Aargauische Kantonalbank
- Bank Austria
- Banco Cantonal de Friburgo
- BKB Banco
- Credit Suisse
- Erste Bank
- Glarner Kantonalbank
- Luzerner Kantonalbank
- Ober Banco
- Obwaldner Kantonalbank
- Raiffeisen Bank
- Schaffhauser Kantonalbank
- Volksbank
- Zürcher Kantonalbank
La relativamente amplia distribución geográfica de estos objetivos podría explicar el carácter multilingüe de sus rutinas, ya que los clientes específicos pueden tener fluidez en varios idiomas.
Estas nuevas variantes SmsSecurity representan una evolución en las capacidades de SmsSecurity. El uso de las funciones de accesibilidad de Android para implementar rutinas maliciosas es una nueva forma de llevar a cabo la actividad automatizada que bien puede ser imitado por otras familias de virus móviles en el futuro. Aplicaciones de seguridad como Trend Micro Mobile Security protegen contra estas amenazas mediante la detección de estas aplicaciones maliciosas.
Los indicadores de Compromiso (IOC)
La siguiente-mando y control servidores (C & C) fueron utilizados por estas variantes:
- hxxp: //clubk-ginza.net/css/3.php
- hxxp: //edda-mally.at/css/3.php
- hxxp: //gruposoluciomatica.com.br/os3/inc/main.php
- hxxp: //izmirsatranckursu.net/includes/main.php
- hxxp: //jbrianwashman.com/images/photo26962/main.php
- hxxp: //losbalonazos.com/wp-admin/3.php
- hxxp: //moseybook.com/blog/wp-includes/main.php
- hxxp: //naritamemorial.com/analog/3.php
- hxxp: //pplweb.pplmotorhomes.com/includes/main.php
- hxxp: //sedalbi.com/img/main.php
- hxxp: //szaivert-numis.at/standardbilder/dll/3.php
- hxxp: //www.ircvenezia.it/free/main.php
- hxxp: //www.oguhtell.ch/cart/3.php
- http://www.santamariagorettimestre.it/img/main.php
- http://www.vanca.com/media/3.php
Las aplicaciones maliciosas son detectados como ANDROIDOS_FAKEBANK.OPSA, y tienen la siguiente SHA1 hashes:
- 323bf07667bf9d65055f80a15a90508e99e05632
- d84353986ee05ac61308063271ade3f8f2876ef9
- 8d0dfd97194f8aef5a15f16e2d410af1f3dcfeae
Latest posts by Jose Miguel (see all)
- Curso Básico de Ciberseguridad. - 11 noviembre, 2024
- Episodio 4. Tendencias actuales en Ciberamenazas y sus Ejemplos. - 8 noviembre, 2024
- Episodio 3: Consejos -muy básicos- para mantener tus datos a salvo. - 3 noviembre, 2024
- Episodio 2: Guía básica para la gestión de contraseñas y usuarios en navegadores populares. - 1 noviembre, 2024
- Podcast-Artículo: Mejorando la ciberseguridad en el entorno laboral: Guía práctica para Empleados. - 29 octubre, 2024