Pequeño análisis de los troyanos Android encontrados en el leak de HackingTeam

martes, 7 de julio de 2015

Entre la información filtrada estos días sobre #HackingTeam, se han encontrado varios ficheros APK usados para troyanizar Android. Un primer análisis en Tacyt ya muestra algunas relaciones interesantes entre aplicaciones legítimas, las filtradas esta vez, otras ya filtradas el año pasado... y otras curiosidades.

Hemos analizado algunas curiosidades de los APK recopilados en el leak. No habían salido a la luz hasta ahora, y no eran cazados por muchos antivirus hasta el momento mismo de la filtración . No es la primera vez que se conocen APKs de esta "empresa". En el verano de 2014, ya se habló de apps de control remoto para Android, atribuidas a HackingTeam, y que se usaban para espiar dispositivos móviles.

Un certificado para binarios en un APK. Un derroche y un despiste

Para firmar un ejecutable, es necesario un certificado Authenticode. Su precio puede ser elevado. Podemos hablar de entre 200 y 500 euros al año, dependiendo de la CA que los emita. Para firmar un APK, Android no exige nada. Puede ser "autogenerado" y "autofirmado" y por tanto a coste cero. Y así lo hacen la inmensa mayoría de los programadores. De hecho, de entre nuestra base de datos menos de 100 (aproximadamente un 0,002%) utilizan certificados firmados por una CA.

Los APK de HackingTeam estaban firmados por este certificado que también permite la firma de ejecutables.

Las tres vistas del certificado Authenticode usado para firmar los APKs

Y el problema no es solo el derroche, sino la exposición. Estos certificados ya se conocían desde principios de 2013, cuando se destaparon las herramientas que usaba HackingTeam para espiar de forma remota. Por tanto estos APK han sido firmados posteriormente, en marzo, mucho después de que ya se supiera y fuera público que habían sido usados para firmar código malicioso (como mínimo en febrero de 2013, como indica este enlace). Un despiste innecesario por parte de HackingTeam.

El certificado caduca en noviembre de 2015. Como dato aparte, en los ejecutables (en los APK, no tiene sentido) además de revocado explícitamente, no está contrafirmado, con lo que aunque no se hubiera revocado, dejarían de funcionar en noviembre de este año.

Fichero binario firmado con el mismo certificado

Qué apps se simulaban

Una rápida búsqueda del packageName de la app nos muestra qué aplicaciones se intentaban simular y contenían el troyano. Estas son algunas de las que hemos encontrado.


Algunos ejemplos de apps legítimas usadas como reclamo en los troyanos

Todas se pueden descarga actualmente en aptoide o Google Play (aunque en este último se encuentran versiones más modernas). La temática es variada. Desde el Corán hasta cámaras espía.

Apps legítimas en las que se han "inspirado" para crear el malware

Obviamente se diferencian de las legítimas en muchos aspectos.

Comparativa entre la app legítima y la troyanizada

Necesitan muchos más permisos, y como curiosidad, en las troyanizadas siempre existe un enlace a Google Maps, suponemos que para algún asunto de localización o posicionamiento de las víctimas.

Todas las apps de HackingTeam mantienen un enlace a Google Maps


Insistimos en que estas apps en los markets mostradas son inocuas, solo que HackingTeam las usa como troyanos (en el sentido más clásico de la palabra) para incitar o disimular la instalación del malware.

Otras curiosidades

Tanto en este leak como en otros análisis hechos al trabajo de HackingTeam (como el del año anterior donde se descubrieron ficheros APK también troyanizados), podemos ver algo más que curioso y que podía haber permitido la detección temprana de estos troyanos (aparte del uso del certificado). Por ejemplo, todos los APK mantienen una singularidad: entre sus /assets/ contienen ficheros binarios cuyo nombre consiste en una simple letra.

El malware para Android de HackingTeam suele contener este tipo de ficheros con estos nombres concretos

Buscando por ese tipo de fichero o algunos de esos hashes, no encontramos en nuestra base de datos ningún otro APK que los contenga explícitamente.

Algunos de esos ficheros comunes en HackingTeam, resultan en una singularidad

Por último, señalar también que todas las APK de esta tanda (excepto una) fueron creadas el "2013-04-09" alrededor de las 11:40 de la mañana, hora local del sistema donde se compilaron.

6 apps fueron creadas el nueve de marzo, excepto una



Sergio de los Santos
ssantos@11paths.com

Adolfo Hernández
adolfo.hernandez@11paths.com

8 comentarios:

  1. Fascinante, pero, por que estaba la cuenta de vuestro CTO entre los emails liberados tras el hack?

    ResponderEliminar
  2. La respuesta es muy sencilla anónimo. Como en muchas otras empresas estoy suscrito a su boletín de noticias, que en concreto mandaba el CEO David Vincenzetti comentando noticias que aparecían interesantes (casi siempre del Finantial Times). Cualquiera se podía suscribir, puesto que era a través de la web.

    ResponderEliminar
    Respuestas
    1. Spain:

      Customer: Secreteria de Estado de Interior, del Ministerio del Interior. Engloba a Policia y Guardia Civil.
      Local Partner: Telefonica
      Procedure: First of all, Javier and Bernardino, from Telefonica would visit Milan 2nd week of December, but should be agreed. Apart from that, Marco already knows how it would be better than me. As far as I know, Telefonica would do the invest and provide system to Policia and Guardia Civil as a service.

      Eliminar
  3. Si... y también estaban suscritos gente de dgt.es, cni.es... Todos los días leen el Financial Times a primera hora de la mañana

    ResponderEliminar
    Respuestas
    1. No conozco de nada a David, pero te ha respondido correctamente sin tapujos. Si ademas aparecen otros emails de los que sospechas (toma, y yo tambien) tendrias que preguntar a los susodichos y no mezclar churras con merinas, no es justo, la verdad.

      Eliminar
    2. Aqui van dos zasca:
      Creo que la gente de Elevenpaths tiene capacidad para hacer mejores cosas que los de hakingteam...o incluso mejorarlo
      El segundo zasca para @chemaalonso: tanto predicar que el si los de linux y softlibre somos unos piojosos (o aquellos 2005 en sus presentaciones de Microsoft) y solo veo que haya petable 1 "producto" para linux, el SELINUX ese de la NSA . AYYYY CHEMIIITAAAA!


      Enviado desde mi Windows XP con configuraciones de seguridad en el Mozilla rebajadas para que no explote.

      Eliminar
    3. Ah, y deja de tapar con esparadrapo la webcam, que para algo tienes el gorro!

      Eliminar