Un nuevo troyano con funcionalidades para espiar a la víctima y suscribirla a servicios SMS premium ha sido descubierto en la tienda oficial de aplicaciones de Google.
El análista de malware Aleksejs Kuprins ha descubierto en las últimas semanas 24 aplicaciones publicadas en Google Play que implementaban funcionalidad para suscribir al usuario a servicios de SMS premium.
Entre todas las aplicaciones suman un total de más de 472.000 instalaciones. Aleksejs ha bautizado a este nuevo troyano ‘Joker’, debido a uno de los nombre de dominio utilizados por el malware como servidor de control.
Los servicios premium a los que es suscrito el usuario tienen un coste medio de unos 6,71 euros a la semana. Antes de suscribir al usuario a un servicio premium, este malware comprueba el país del usuario a través del código de país del numero de teléfono de la víctima.
La aplicación maliciosa afecta a usuarios de 37 países (entre ellos España): Australia, Austria, Bélgica, Brasil, China, Chipre, Egipto, Francia, Alemania, Ghana, Grecia, Honduras, India, Indonesia, Irlanda, Italia, Kuwait, Malasia, Myanmar, Holanda, Noruega, Polonia, Portugal, Qatar, Argentina, Serbia, Singapore, Eslovenia, Suecia, Suiza, Tailandia, Turkia, Ukrania, Emiratos Arabes, Reino Unido y Estados Unidos.
La aplicación utiliza la pantalla de carga (‘Splash screen’), para realizar la comprobación del país y la inicialización (en función del país) en segundo plano.
Una vez realizada la inicialización, se realiza una petición al servidor de control para descargar la configuración para la segunda fase. Esta configuración se encuentra cifrada utilizando DES como algoritmo de cifrado.
La configuración descargada contiene la URL para la descarga de un fichero DEX ofuscado que implementa el núcleo de la segunda fase, las claves de desofuscación del fichero DEX y los nombres de la clase y el método que debe cargar y ejecutar del DEX descargado. Además de la URL del servidor de control y el ‘tag’ de la campaña.
El código incluido en el fichero DEX descargado se encarga de llevar a cabo la segunda fase del ataque. En esta segunda fase, el malware contacta con el servidor de control para obtener una lista de tareas a llevar a cabo.
Como podemos observar en la imagen, las tareas contienen principalmente una URL relacionada con una campaña publicitaria, y se incluyen acciones a realizar para esa URL. De esta forma, la aplicación maliciosa cargará una vista web con la URL de la campaña y, posteriormente, ejecutará la URL con el código JavaScript indicado en el campo de acciones.
Entre las acciones podemos observar código destinado a enviar formularios automáticamente, de forma que se acaba suscribiendo al usuario a la campaña publicitaria.
En el caso de campañas relacionadas con SMS premium, el malware esperará a recibir el mensaje de confirmación y posteriormente ejecutará el código JavaScript correspondiente para completar la suscripción.
Además de la funcionalidad de suscripción a campañas de SMS premium, este malware también incluye la funcionalidad necesaria para enviar la lista completa de contactos y todos los SMS al servidor de control.
IoCs
C&C (distribución de malware): http://3.122.143[.]26/
C&Cs Principales:
http://joker2.dolphinsclean[.]com/
http://beatleslover[.]com/
http://47.254.144[.]154/
C&C para la descarga de la segunda fase:
https://s3.amazonaws.com/media.site-group-df[.]com/s8-release
https://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s8–5-release
https://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s8-5-dsp-release
https://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s8-all
https://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s9-3-sendsms
https://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s9–6-release
https://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s9–6–2-release
https://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s9-6-3
https://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/Y12-all-no-log
https://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/Y12-no-log
https://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/Y13-all
https://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/Y13-all-v2-no-log
Hashes de las aplicaciones maliciosas:
b36fbe6b75f00ae835156185ca5d6955cdfbe410d73c3e5653dabbaff260f166
718210a0c41160240843711d79f2757548e72934e996b0e16a2b2277369d366b
81d784ee65a8dc113683cd7cc271a36da275a500621cefa187095951af3a5114
2d9a7d75227c3332591e1af5a2f2223eec3328c75c95dea9a33ea269200faf38
1e724a5af76927106ee92421412af62698707d1d44a9891f91b3c6902f1780cd
69d94f94233a2e42d49eeafaea7bf2aad86671cdaf3be45b00ff3de624d7e883
e44f514c7729a6c39700db6ac51c817c77741e19178f8942c2d26f6b62ef9df5
226e9c5ca45facb9b9a36529e09958546c4b351f4b7ae02101f8e3c1d6e3de7b
6261be516a54d8566348b8305e96f34bdbf4f11620350c5f36f4bc3cb67fc181
43b36c438a3531e42623fbd00f5b57066a4db8048ce8e0ab0b5ecf9eac67aabf
da2171a32f3b95620c35a48a34fb7293a321ab41266d3461f808b2f07694e5a7
494c8c6155a08ae95a2f1962636911310c98d36f065e81eddf4ffcb172913495
a8bf4055a4988ee181be9915c93c6278503be562475a558aef3c6dba54e06b13
befde4166a9cdf2ff7c8f81fb5dec6a6760d20e0debbc667a8274899a248ef31
b631b2254850e62804fc66895850dcbf007d670aa843af8d2e525c85947da2d4
2e3bff9dda4c568a5e12c2f468227ec8dc5baf9913fe573f02ef2d5432b37bc0
9b4a1b7c638be029f0ffcb92dcfac74052f41fc36d43a45f6aa80d20d1285646
5405e39dbde78e3b561a6e54f208ce557f04bdbdc363ea6442892d26ba91811e
65135899349daca2646ca36c5a442382bc988f5b3749a2bd5322170d777af77a
54aba1530d829c71b2410c06628de034e38bc52be3002f82cc771c219d91958d
27450c3c735dc3dcba9254a3b08ed22bbcde8631343cb70107d4e41e17fbb548
162ee177dea9b94366063de63dffd97f92f7a50e0e429d54fea73dc3a52f1b3a
f165e04ee6ec84a2e57108c0f7e157a5dc1158fb38a161e5cfcde89476838c09
0eba66cda54c732645ca69949882097c2f2e69dff917e8834b6636ef00848772
.