El mes de la RATa en Google Play

lunes, 30 de marzo de 2015

Hace algunos días, Lukas Stefanko de ESET descubrió un nuevo sistema de administración remota para Android. Aunque ya se conocen sistemas RAT para Android, este malware tenía algo de especial. Usaba las notificaciones de Baidu Cloud Push para el envío de comandos a las víctimas. Podemos confirmar (no se hace en la noticia original) que esta RAT ha estado no solo disponible en mercados alternativos, sino también en Google Play por, al menos, un mes.

Existen diferentes tipos de RAT para Android. Dos funciones fundamentales la definen:
  • Qué y cómo puede controlar del dispositivo. 
  • Cómo recibe instrucciones la víctima.
Cómo se reciben los comandos abre un puñado de posibilidades: HTTP, SMS, Jabber, GCM (Google Cloud Messaging)... y ahora notificaciones Baidu Cloud Push. Cloud Push es un sistema en el que los desarrolladores pueden registrar usuarios. Los usuarios registrados recibirán notificaciones push en sus dispositivos (una notificación especial en la barra de tareas). Este sistema es usado por millones de apps legítimas, y Google permite el uso de CGM gratis. Este sistema ya ha sido usado para acciones maliciosas anteriormente, Cualquier desarrollador puede crear "su propio GCM", y Baidu es el popular en China. Este ha sido usado en esta ocasión para enviar comandos a la botnet. La técnica es nueva. Tan nueva, que el malware no ha sido detectado por los motores antivirus en meses.

¿Qué hace el RAT?

Infecta el sistema y queda a la espera de comandos que vendrán del servidor, que es una instancia de Baidu Cloud Push especialmente manipulada. Básicamente, la figura de abajo lo resume:

Comandos que el atacante puede enviar al dispositivo
Se muestran los comandos que el dispositivo podría recibir de Baidu. La app cuenta con los permisos necesarios para realizar las tareas, así que el dispositivo infectado queda a completa disposición del atacante.

Toda la información va a través de la ruta "/mnt/sdcard/DCIM/Camera/%file_name%" antes de ser subida al servidor de Baidu cloud storage (BCS) y eliminada del dispositivo.

No solo en los mercados alternativos

Stefanko encontró los samples en mercados alternativos, lo que resulta "normal" de alguna forma. Pero algunos de estas muestras sí que estuvieron en Google Play durante más de un mes. Con más de 50.000 descargas, las víctimas podrían seguir bajo el control del atacante.

Una de las RAT, disponibles en Google Play
Gracias a Tacyt (aunque no hemos encontrado estas muestras a tiempo) sabemos ahora que algunas muestras diferentes con el mismo comportamiento estaban disponibles en Google Play desde, al menos, noviembre de 2014. Algunas muestras, bajo el nombre de ciertos desarrolladores, fueron creadas durante noviembre de 2014 y estuvieron disponibles desde diciembre. Las apps estuvieron disponibles hasta finales de enero, cuando Google las eliminó. Parece que otras estuvieron disponibles desde septiembre hasta finales de enero, bajo otras cuentas falsas. Estas apps están todavía en otros markets. El desarrollador parece provenir de Corea del Sur.

Ha estado usando diferentes nombres y correos: "zhengcaiai", "devzhemin520", "su weiyu"... Este dominio también le pertenece: http://devzhemin.dothome.co.kr.

¿Y los antivirus?

Las muestras no han sido detectadas por al menos cinco meses:

Una de las RAT, no siendo detectada

Hasta aproximadamente el 17 de marzo, no era detectada. ESET y Avira han sido los primeros en detectarlas.

Los primeros motores que cazaban la muestra

Pocos días después, muchos otros han creado la firma para detectarlos, pero no todos los "grandes" todavía.

Más motores que detectan las muestras

Lo han llamado la RAT "cajino" por el nombre de paquete encontrado por Stefanko. Todos los nombres comenzaban con la cadena ca.ji.no.method[*] y un número. Pero el atacante también ha usado  la estructura han[*].play.app para nombrar las apps en Google Play.

Las versiones más nuevas son menos detectadas

Para las nuevas versiones, los únicos que las cazan son Avast, DrWeb y ESET, los que crearon las firmas originales. Esto muestra perfectamente la noción de "firmas de calidad" que protegen al usuario en el futuro tanto como es posible.

Conclusiones

Las RATs para Android no es que sean poco comunes, pero tampoco habituales. Además de las conclusiones del investigador de ESET, lo interesante que consideramos necesario señalar es que:
  • Se han usado nuevos métodos de comunicación.
  • Las apps no han sido detectadas ni por investigadores ni antivirus durante al menos seis meses.
  • El atacante ha estado en Google Play (el sitio predilecto para atacantes) durante al menos un mes.
  • Y seguirán consiguiendo más víctimas, porque la app todavía se encuentra en diferentes mercados.
No es habitual que se encuentren RATs en Google Play. Una de las últimas noticias al respecto es la de Dendroid, una RAT diseñada para eludir los controles de Google Play, hace un año.

Algunos hashes diferentes (además de los encontrados por ESET) son:
  • 7a131e44d731995e51b7e439082273abbbf02602
  • 48412835d0855c565f213242b0db7a26480fcc2e
  • 4c9e505f1132528c68091fa32bb1844d7cbd2687
  • 31a645973554b7c83cc0bd6fb7709ec12937c962

El atacante está distribuyendo (además de por otros mercados) la apk desde aquí: hxxp://guangzhouhan1.dothome.co.kr/music.apk, así que podrían cambiar en cualquier momento.

Sergio de los Santos
ssantos@11paths.com

No hay comentarios:

Publicar un comentario