Los investigadores de ESET descubrieron una campaña de adware de un año en Google Play y rastrearon a su operador. Las aplicaciones involucradas, instaladas ocho millones de veces, usan varios trucos para sigilo y persistencia.
Hola lectores del blog de QuantiKa14. Hemos tenido un pequeño parón y volvemos con más ganas que nunca de seguir llenando de contenido que pensamos que puede ser de gran interes para vosotros.
En esta ocasión queremos compartir un artículo con el permiso del autor, Lucas Stefanko, en la página web WeLiveSecurity. Está escrito en Inglés y nosotros unicamente la hemos traducido al español. No es que hayamos hecho una gran aportación, sin embargo, tras pedir permiso y ser aceptado, pensamos que puede ser interesante por la investigación que realiza para identificar al dueño de aplicaciones de Adware. Esperamos que os guste.
Detectamos una gran campaña de adware que se ejecutó durante aproximadamente un año, con las aplicaciones involucradas instaladas ocho millones de veces solo desde Google Play.
Identificamos 42 aplicaciones en Google Play como pertenecientes a la campaña, que se ejecutaba desde julio de 2018. De ellas, 21 todavía estaban disponibles en el momento del descubrimiento. Reportamos las aplicaciones al equipo de seguridad de Google y se eliminaron rápidamente. Sin embargo, las aplicaciones aún están disponibles en tiendas de aplicaciones de terceros. ESET detecta este adware, colectivamente, como Android / AdDisplay.Ashas.
Ashas funcionalidades
Todas las aplicaciones proporcionan la funcionalidad que prometen, además, de funcionar como adware. La funcionalidad del adware es la misma en todas las aplicaciones que analizamos. [Nota: El análisis de la funcionalidad a continuación describe una sola aplicación, pero se aplica a todas las aplicaciones de la familia Android / AdDisplay.Ashas.]
Una vez iniciada, la aplicación comienza a comunicarse con su servidor C&C (cuya dirección IP está codificada en base64 en la aplicación). Envía datos clave de “inicio” sobre el dispositivo afectado: tipo de dispositivo, versión del sistema operativo, idioma, número de aplicaciones instaladas, espacio de almacenamiento libre, estado de la batería, si el dispositivo está rooteado y el modo de desarrollador habilitado, y si Facebook y FB Messenger están instalados .
La aplicación recibe datos de configuración del servidor de C&C, necesarios para mostrar anuncios, y para sigilo y resistencia.
En cuanto al sigilo y la resistencia, el atacante usa varios trucos.
Primero, la aplicación maliciosa intenta determinar si está siendo probada por el mecanismo de seguridad de Google Play. Para este fin, la aplicación recibe del servidor de C&C el indicador isGoogleIp , que indica si la dirección IP del dispositivo afectado se encuentra dentro del rango de direcciones IP conocidas para los servidores de Google. Si el servidor devuelve este indicador como positivo, la aplicación no activará la carga de adware.
En segundo lugar, la aplicación puede establecer un retraso personalizado entre la visualización de anuncios. Las muestras que hemos visto tenían su configuración configurada para retrasar la visualización del primer anuncio 24 minutos después de que se desbloquea el dispositivo. Este retraso significa que un procedimiento de prueba típico, que lleva menos de 10 minutos, no detectará ningún comportamiento no deseado. Además, cuanto mayor sea el retraso, menor será el riesgo de que el usuario asocie los anuncios no deseados con una aplicación en particular.
En tercer lugar, según la respuesta del servidor, la aplicación también puede ocultar su icono y crear un acceso directo. Si un usuario típico intenta deshacerse de la aplicación maliciosa, es probable que solo se elimine el acceso directo. La aplicación continúa ejecutándose en segundo plano sin el conocimiento del usuario. Esta técnica de sigilo ha ganado popularidad entre las amenazas relacionadas con adware distribuidas a través de Google Play.
Una vez que la aplicación maliciosa recibe sus datos de configuración, el dispositivo afectado está listo para mostrar anuncios según la elección del atacante; cada anuncio se muestra como una actividad de pantalla completa. Si el usuario desea verificar qué aplicación es responsable del anuncio que se muestra, al presionar el botón “Aplicaciones recientes”, se utiliza otro truco: la aplicación muestra un icono de Facebook o Google, como se ve en la Figura 6. El adware imita estos dos aplicaciones para parecer legítimas y evitar sospechas, y así permanecer en el dispositivo afectado el mayor tiempo posible.
Finalmente, la familia de adware Ashas tiene su código oculto bajo el nombre del paquete com.google.xxx . Este truco, haciéndose pasar por un servicio legítimo de Google, puede ayudar a evitar el escrutinio. Algunos mecanismos de detección y entornos limitados pueden incluir en la lista blanca dichos nombres de paquetes, en un esfuerzo por evitar el desperdicio de recursos.
Cazando al desarrollador
Utilizando información de código abierto, rastreamos al desarrollador del adware, a quien también identificamos como el operador de la campaña y el propietario del servidor de C&C. En los siguientes párrafos, describimos nuestros esfuerzos para descubrir otras aplicaciones del mismo desarrollador y proteger a nuestros usuarios de él.
Primero, en base a la información asociada con el dominio C&C registrado, identificamos el nombre del registrante, junto con otros datos como el país y la dirección de correo electrónico, como se ve en la Figura 8.
Sabiendo que la información proporcionada a un registrador de dominios podría ser falsa, continuamos nuestra búsqueda. La dirección de correo electrónico y la información del país nos llevaron a una lista de estudiantes que asisten a una clase en una universidad vietnamita, lo que corrobora la existencia de la persona bajo cuyo nombre se registró el dominio.
Debido a malas prácticas de privacidad por parte de la universidad de nuestro culpable, ahora sabemos su fecha de nacimiento (probablemente: aparentemente utilizó su año de nacimiento como parte de su dirección de Gmail, como confirmación parcial adicional), sabemos que era un estudiante y A qué universidad asistió. También pudimos confirmar que el número de teléfono que proporcionó al registrador de dominio era genuino. Además, recuperamos su identificación de la universidad; una búsqueda rápida en Google mostró algunas de las calificaciones de su examen. Sin embargo, los resultados de su estudio están fuera del alcance de nuestra investigación.
Según la dirección de correo electrónico de nuestro culpable, pudimos encontrar su repositorio de GitHub. Su repositorio demuestra que es un desarrollador de Android, pero no contenía ningún código público del adware Ashas al momento de escribir este blog.
Sin embargo, una simple búsqueda en Google del nombre del paquete de adware devolvió un proyecto “TestDelete” que había estado disponible en su repositorio en algún momento
El desarrollador malicioso también tiene aplicaciones en la App Store de Apple. Algunas de ellas son versiones iOS de las que se eliminaron de Google Play, pero ninguna contiene funcionalidad de adware.
Buscando más allá de las actividades del desarrollador malicioso, también descubrimos su canal de Youtube propagando el adware Ashas y sus otros proyectos. En cuanto a la familia Ashas, uno de los videos promocionales asociados, “Head Soccer World Champion 2018 – Android, ios” fue visto casi tres millones de veces y otros dos alcanzaron cientos de miles de visitas, como se ve en la Figura 11.
Su canal de YouTube nos proporcionó otra valiosa información: él mismo aparece en un video tutorial para uno de sus otros proyectos. Gracias a ese proyecto, pudimos extraer su perfil de Facebook, que enumera sus estudios en la universidad antes mencionada.
Vinculados en el perfil de Facebook del desarrollador malicioso, descubrimos una página de Facebook, Minigameshouse , y un dominio asociado, minigameshouse [.] Net. Este dominio es similar al que utilizó el autor de malware para su comunicación de adware C&C, minigameshouse [.] Us.
La comprobación de esta página de Minigameshouse indica además que esta persona es realmente el propietario del dominio minigameshouse [.] Us: el número de teléfono registrado en este dominio es el mismo que el número de teléfono que aparece en la página de Facebook.
Es interesante que en la página de Facebook de Minigameshouse , el desarrollador malicioso promueve una gran cantidad de juegos más allá de la familia Ashas para descargar en Google Play y App Store. Sin embargo, todos ellos se han eliminado de Google Play, a pesar del hecho de que algunos de ellos no contenían ninguna funcionalidad de adware.
Además de todo esto, uno de los videos de YouTube del desarrollador malicioso, un tutorial sobre el desarrollo de un “Juego instantáneo” para Facebook, sirve como un ejemplo de seguridad operativa completamente ignorada. Pudimos ver que sus sitios web visitados recientemente eran páginas de Google Play que pertenecen a aplicaciones que contienen el adware Ashas. También usó su cuenta de correo electrónico para iniciar sesión en varios servicios en el video, que lo identifica como el propietario del dominio de adware, sin ninguna duda.
Gracias al video, incluso pudimos identificar otras tres aplicaciones que contenían funcionalidad de adware y estaban disponibles en Google Play.
Telemetría de ESET
¿El adware es dañino?
Debido a que la naturaleza real de las aplicaciones que contienen adware generalmente está oculta para el usuario, estas aplicaciones y sus desarrolladores deben considerarse poco confiables. Cuando se instala en un dispositivo, las aplicaciones que contienen adware pueden, entre otras cosas:
- Molestar a los usuarios con anuncios intrusivos, incluidos anuncios fraudulentos
- Desperdiciar los recursos de la batería del dispositivo
- Generar mayor tráfico de red.
- Recopilar información personal de los usuarios
- Ocultar su presencia en el dispositivo afectado para lograr persistencia
- Genere ingresos para su operador sin interacción del usuario.
Conclusión
Basados únicamente en la inteligencia de código abierto, pudimos rastrear al desarrollador del adware Ashas y establecer su identidad y descubrir aplicaciones adicionales infectadas con adware. Al ver que el desarrollador no tomó ninguna medida para proteger su identidad, parece probable que sus intenciones no fueron deshonestas al principio, y esto también se ve respaldado por el hecho de que no todas sus aplicaciones publicadas contenían anuncios no deseados.
En algún momento de su “carrera” en Google Play, aparentemente decidió aumentar sus ingresos publicitarios mediante la implementación de la funcionalidad de adware en el código de sus aplicaciones. Las diversas técnicas de sigilo y resistencia implementadas en el adware nos muestran que el culpable era consciente de la naturaleza maliciosa de la funcionalidad adicional e intentó mantenerla oculta.
Introducir funcionalidades no deseadas o dañinas en aplicaciones populares y benignas es una práctica común entre los desarrolladores “malos”, y estamos comprometidos a rastrear dichas aplicaciones. Los informamos a Google y tomamos otras medidas para interrumpir las campañas maliciosas que descubrimos. Por último, publicamos nuestros hallazgos para ayudar a los usuarios de Android a protegerse.
Indicadores de compromiso (IoC)
| Nombre del paquete | Picadillo | Instala |
|---|---|---|
| com.ngocph.masterfree | c1c958afa12a4fceb595539c6d208e6b103415d7 | 5,000,000+ |
| com.mghstudio.ringtonemaker | 7a8640d4a766c3e4c4707f038c12f30ad7e21876 | 500,000+ |
| com.hunghh.instadownloader | 8421f9f25dd30766f864490c26766d381b89dbee | 500,000+ |
| com.chungit.tank1990 | 237f9bfe204e857abb51db15d6092d350ad3eb01 | 500,000+ |
| com.video.downloadmasterfree | 43fea80444befe79b55e1f05d980261318472dff | 100,000+ |
| com.massapp.instadownloader | 1382c2990bdce7d0aa081336214b78a06fceef62 | 100,000+ |
| com.chungit.tankbattle | 1630b926c1732ca0bb2f1150ad491e19030bcbf2 | 100,000+ |
| com.chungit.basketball | 188ca2d47e1fe777c6e9223e6f0f487cb5e98f2d | 100,000+ |
| com.applecat.worldchampion2018 | 502a1d6ab73d0aaa4d7821d6568833028b6595ec | 100,000+ |
| org.minigamehouse.photoalbum | a8e02fbd37d0787ee28d444272d72b894041003a | 100,000+ |
| com.mngh.tuanvn.fbvideodownloader | 035624f9ac5f76cc38707f796457a34ec2a97946 | 100,000+ |
| com.v2social.socialdownloader | 2b84fb67519487d676844e5744d8d3d1c935c4b7 | 100,000+ |
| com.hikeforig.hashtag | 8ed42a6bcb14396563bb2475528d708c368da316 | 100,000+ |
| com.chungit.heroesjump | c72e92e675afceca23bbe77008d921195114700c | 100,000+ |
| com.mp4.video.downloader | 61E2C86199B2D94ABF2F7508300E3DB44AE1C6F1 | 100,000+ |
| com.videotomp4.downloader | 1f54e35729a5409628511b9bf6503863e9353ec9 | 50,000+ |
| boxs.puzzles.Puzzlebox | b084a07fdfd1db25354ad3afea6fa7af497fb7dc | 50,000+ |
| com.intatwitfb.download.videodownloader | 8d5ef663c32c1dbcdd5cd7af14674a02fed30467 | 50,000+ |
| com.doscreenrecorder.screenrecorder | e7da1b95e5ddfd2ac71587ad3f95b2bb5c0f365d | 50,000+ |
| com.toptools.allvideodownloader | 32E476EA431C6F0995C75ACC5980BDBEF07C8F7F | 50,000+ |
| com.top1.videodownloader | a24529933f57aa46ee5a9fd3c3f7234a1642fe17 | 10,000+ |
| com.santastudio.headsoccer2 | 86d48c25d24842bac634c2bd75dbf721bcf4e2ea | 10,000+ |
| com.ringtonemakerpro.ringtonemakerapp2019 | 5ce9f25dc32ac8b00b9abc3754202e96ef7d66d9 | 10,000+ |
| com.hugofq.solucionariodebaldor | 3bb546880d93e9743ac99ad4295ccaf982920260 | 10,000+ |
| com.anit.bouncingball | 6e93a24fb64d2f6db2095bb17afa12c34b2c8452 | 10,000+ |
| com.dktools.liteforfb | 7bc079b1d01686d974888aa5398d6de54fd9d116 | 10,000+ |
| net.radiogroup.tvnradio | ba29f0b4ad14b3d77956ae70d812eae6ac761bee | 10,000+ |
| com.anit.bouncingball | 6E93A24FB64D2F6DB2095BB17AFA12C34B2C8452 | 10,000+ |
| com.floating.tube.bymuicv | 6A57D380CDDCD4726ED2CF0E98156BA404112A53 | 10,000+ |
| org.cocos2dx.SpiderSolitaireGames | adbb603195c1cc33f8317ba9f05ae9b74759e75b | 5,000+ |
| games.puzzle.crosssum | 31088dc35a864158205e89403e1fb46ef6c2c3cd | 5,000+ |
| dots.yellow.craft | 413ce03236d3604c6c15fc8d1ec3c9887633396c | 5,000+ |
| com.tvngroup.ankina.reminderWater | 5205a5d78b58a178c389cd1a7b6651fe5eb7eb09 | 5,000+ |
| com.hdevs.ringtonemaker2019 | ba5a4220d30579195a83ddc4c0897eec9df59cb7 | 5,000+ |
| com.carlosapps.solucionariodebaldor | 741a95c34d3ad817582d27783551b5c85c4c605b | 5,000+ |
| com.mngh1.flatmusic | 32353fae3082eaeedd6c56bb90836c89893dc42c | 5,000+ |
| com.tvn.app.smartnote | ddf1f864325b76bc7c0a7cfa452562fe0fd41351 | 1,000+ |
| com.thrtop.alldownloader | f46ef932a5f8e946a274961d5bdd789194bd2a7d | 1,000+ |
| com.anthu91.soccercard | 0913a34436d1a7fcd9b6599fba64102352ef2a4a | 1,000+ |
| com.hugofq.wismichudosmildiecisiete | 4715bd777d0e76ca954685eb32dc4d16e609824f | 1,000+ |
| com.gamebasketball.basketballperfectshot | e97133aaf7d4bf90f93fefb405cb71a287790839 | 1,000+ |
| com.nteam.solitairefree | 3095f0f99300c04f5ba877f87ab86636129769b1 | Más de 100 |
| com.instafollowers.hiketop | 3a14407c3a8ef54f9cba8f61a271ab94013340f8 | 1+ |
Servidor C&C
http: //35.198.197 [.] 119: 8080
Técnicas MITRE ATT y CK
| Táctica | CARNÉ DE IDENTIDAD | Nombre | Descripción |
|---|---|---|---|
| Acceso inicial | T1475 | Entregue la aplicación maliciosa a través de la tienda de aplicaciones autorizadas | El malware suplanta servicios legítimos en Google Play |
| Persistencia | T1402 | Inicio automático de la aplicación al iniciar el dispositivo | Una aplicación de Android puede escuchar la transmisión BOOT_COMPLETED, asegurando que la funcionalidad de la aplicación se activará cada vez que se inicie el dispositivo. |
| Impacto | T1472 | Generar ingresos publicitarios fraudulentos | Genera ingresos al mostrar anuncios automáticamente |
Kudos to @jaymin9687 for bringing the problem of unwanted ads in the “Video downloader master” app to our attention.
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 Internacional