Análisis de malware

Gusano de malware para Android se propaga automáticamente a través de mensajes de WhatsApp

28 de septiembre de por Pedro Tavares

Las aplicaciones móviles fraudulentas van en aumento. Un ejemplo reciente es el malware oculto en el mercado Google Play en una aplicación falsa y capaz de propagarse a través de mensajes instantáneos de Whatsapp. Si la víctima otorga los permisos correctos, el malware recupera automáticamente una carga útil diseñada de sus servidores C2 y la difunde en los mensajes de WhatsApp.

Este artículo cubre cómo funciona este tipo de malware , las técnicas utilizadas por los actores maliciosos y cómo prevenirlo.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Descripción general del gusano malicioso de WhatsApp

En general, los dispositivos móviles no son tan seguros como los ordenadores. Las protecciones de seguridad estándar utilizadas para estaciones de trabajo y servidores no están implementadas para la mayoría de los dispositivos móviles, por lo que es posible que los dispositivos móviles no estén protegidos por firewalls, cifrado, antivirus o detección y respuesta de terminales.

Sin embargo, estos dispositivos suelen estar conectados a servicios en la nube, correos electrónicos comerciales y otras aplicaciones que ponen en riesgo a las empresas.

En este contexto, el equipo de CheckPoint Research descubrió en el mercado Google Play un malware con capacidad de propagarse a través de los mensajes de WhatsApp de la víctima. Cuando se envió al mercado oficial, la aplicación maliciosa no se marcó como malware y puede haber sido descargada e instalada por aproximadamente 500 usuarios.

1: Aplicación maliciosa disponible en el mercado oficial de Google Play ( fuente ).

Como se observa en la 2 a continuación, esta aplicación maliciosa se hace pasar por la aplicación legítima NetFlix y proporciona contenido multimedia en línea, como películas y series, de forma gratuita. La aplicación fue supuestamente desarrollada por Jillian Sanchez, según el nombre asociado con el envío del APK en Google Play.

2: Detalles sobre la aplicación maliciosa «com.fab.wflixonline».

Profundizando en los detalles del malware FlixOnline

Este malware responde automáticamente a los mensajes que provienen de WhatsApp y luego envía en línea una carga útil recibida desde su servidor C2.

» La aplicación en realidad está diseñada para monitorear las notificaciones de WhatsApp del usuario y enviar respuestas automáticas a los mensajes entrantes del usuario utilizando el contenido que recibe de un servidor CC remoto » , dijeron los investigadores de CheckPoint .

Se solicitan algunos permisos obligatorios adicionales cuando la víctima descarga e instala la aplicación. El permiso «android.permission. INTERNET » es necesario para crear sockets en línea con su servidor C2 para recuperar y enviar información desde el dispositivo infectado. La función » RECEIVE_BOOT_COMPLETED » está habilitada de forma predeterminada para iniciar la aplicación en el arranque, permitir un control total del dispositivo y lograr persistencia. Además, el permiso » WAKE_LOCK » es esencial para evitar que el teléfono entre en suspensión. Los detalles completos extraídos se pueden observar a continuación.

3: Permisos solicitados por la aplicación maliciosa durante su ejecución.

Otro permiso interesante es » System_ALERT_WINDOWS «. Es responsable de crear ventanas superpuestas sobre otras aplicaciones para robar información o incitar a los usuarios a hacer clic o ejecutar algo malicioso. Algunas de las ventanas superpuestas se recuperan de un servicio de alojamiento, como se observa a continuación.

4: Ventanas superpuestas presentadas por el malware en tiempo de ejecución.

Una vez establecidos los permisos, el malware recibe una carga útil inicial de su servidor C2 que oculta su icono para ayudar a evitar la eliminación de la aplicación. Esta rutina se realiza periódicamente mediante una función que recupera información del servidor C2 en línea.

5: Analizador de la carga útil del servidor C2.

Interactuando con las notificaciones de WhatsApp

Después de este punto, el malware está listo para distribuir la carga útil a través de WhatsApp. Durante su ejecución, la devolución de llamada OnNotificationPosted busca el nombre del paquete de la aplicación de origen y, si el nombre de la aplicación es WhatsApp, se procesa la notificación «nueva».

6: El malware encuentra notificaciones de WhatsApp.

Luego, el malware cierra la notificación para engañar a la víctima. La notificación está oculta y sus detalles se obtienen como se presenta en la 7 (el título y el contenido).

7: Ruta responsable de procesar la notificación.

En la siguiente etapa, el malware invoca el componente responsable de las respuestas en línea y envía el mensaje de respuesta con la carga maliciosa obtenida de su servidor C2.

8: Bloque de código responsable de enviar la respuesta en WhatsApp.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Reflexiones finales sobre el malware de gusano de WhatsApp

El malware móvil que se puede gusano se ha distribuido libremente con técnicas innovadoras y peligrosas para difundir y manipular datos o robar secretos de los usuarios. Estas piezas maliciosas también aprovechan aplicaciones confiables, como WhatsApp, instaladas en los dispositivos móviles de destino para llegar a otros usuarios.

Al utilizar este modus operandi, los actores de amenazas pueden realizar una variedad de actividades maliciosas, que incluyen:

Las mejores recomendaciones para mantener protegidos tus dispositivos móviles es nunca instalar ni descargar aplicaciones sospechosas o extrañas de mercados no oficiales. Aunque esta aplicación específica se descargó e instaló desde Google Play sin ser detectada por parte de Google, siempre es importante verificar los permisos solicitados y conocerlos.

A veces, los permisos no están alineados con la naturaleza de la aplicación de destino y este detalle debe tenerse en cuenta en todo momento. Tomémonos en serio las amenazas móviles y protejamos nuestros dispositivos contra amenazas de esta línea.

Fuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *