Downloaders "en diferido": Nuevas técnicas de descarga de apps maliciosas en Google Play

viernes, 27 de febrero de 2015

Los descargadores o "downloaders" no son nuevos en Android, pero últimamente, se están volviendo cada vez más importantes para los atacantes, como método que elude las barreras de entrada en Google Play y su detector de malware. En ElevenPaths hemos detectado unos downloaders que, bajo la apariencia de apps inocentes, permiten la descarga de apks más peligrosos (literalmente, cualquier apk). Necesita de la interacción del usuario y que la opción de "instalar de fuentes desconocidas" esté activa, pero el truco que utiliza para engañar al usuario es bastante ingenioso, y permite que la app descargada (la segunda) se ejecute sin que el usuario asocie los futuros problemas que tendrá con la primera app que instaló. Veamos cómo.

Los "downloaders" son un viejo truco en el mundo del PC, y algo relativamente no tan nuevo en Android. Estas apps intentan encontrar el camino hacia la victima usando permisos menos sospechosos, o incluso ofreciendo realmente la funcionalidad prometida. Así es como llegan a Google Play. Después, en una futura versión, una vez consolidados en el mercado, mutan. Se vuelven "downloaders" de un adware o malware más complejo. Los atacantes tienen mucho más éxito con estas técnicas. Hay muchas. Veamos una nueva.

Cómo funciona

Un usuario podría descargar una aplicación aparentemente inocente y, solo un tiempo después, el teléfono descargaría e intentaría instalar, engañando al usuario, otra aplicación completamente diferente: muy probablemente maliciosa (malware, dialers o suscriptores a mensajes premium, etc).

Las apps que hemos encontrado no son muy detectadas por los antivirus e incluso, si lo son, es por la carga de adware agresivo que llevan en sí mismas, no por su técnica de descarga. Incluso muchas de ellas todavía se encuentran en Google Play. Hemos analizado esta que todavía se encuentra online.


Uno de los downloaders en Google Play

Se supone que se trata de un "cambiador de voz" y en realidad lo hace, guardando un fichero .wav y modificando la frecuencia de reproducción. La app en sí misma contiene tres SDKs diferentes de tres proveedores de publicidad distintos. Esto significa que por sí misma inunda el teléfono con publicidad. Pero no es suficiente... esta app declara además un "receiver" llamado  "USER_PRESENT".

USER_PRESENT receiver, para activarse cuando el usuario desbloquea el dispositivo

Este es un evento oficial que se lanza cada vez que el dispositivo "se despierta" por una acción del usuario. En otras palabras, básicamente cuando se desbloquea. Este es el código que se lanza cuando se recibe el evento:

Código que se activa cuando el teléfono se desbloquea
Básicamente, lo que la aplicación está haciendo es asegurarse la conectividad. Comprueba que se lanza solamente una vez al día. Esto ocurre incluso cuando no se está usando la app. Cuanta (con la variable "k") cuántas veces ha sido ejecutada y se almacena en las preferencias.

Downloading... pero no hoy

La app no descarga nada el mismo día que el downloader ha sido instalado. Así evitará un "análisis dinámico". El usuario instalará entonces este "cambiador de voz", pero no notará nada extraño hasta, al menos, el día siguiente. Y entonces, el día después, se realiza otra comprobación. Dos de cada tres veces se visitará la URL mostrada en la imagen. Ahí un TXT apunta a otra app en Google Play, de forma que el atacante inunda con estos anuncios la pantalla.

Pero la parte interesante ocurre cuando la app no entra en ese "if" y baja por el código. El método Gfveaqwfea comprueba la existencia de la app com.facebook. No es la app oficial de Facebook (es com.facebook.katana), sino el adware que será instalado posteriomente.

Comprobando si existe com.facebook y si no, descarga la nueva app

La app comprueba si el dispositivo está configurado para instalar apps de fuera de Google Play. Esto es muy común en ciertos países donde el uso del mercado es limitado. También es una configuración común en los dispositivos de usuarios que instalan apps "no oficiales", así que en estos escenarios tendrá bastante éxito. Si es así, se descarga a.apk desde la URL mostrada en la imagen y se almacena como xxx.apk.

Comprueba la opción "instalar de fuera de Google Play". Si es posible, intenta descargar el nuevo apk


El nuevo apk en la carpeta "Download"
El usuario no verá nada y no se le hará ninguna pregunta para la descarga. Entonces se ejecuta. Dependiendo de la configuración del dispositivo, si el usuario ha asociado automáticamente la ejecución a Verificar Apps o Instalar Directamente, se mostrará un diálogo de selección... o no. Cuando esta segunda app está siendo instalada, esto es lo que verá el usuario:

Parece una actualización legítima de Facebook

Es importante recordar que esta es la imagen que aparecerá cuando el usuario desbloquee el teléfono, el día después de que fuera instalada la app original, y solo una de cada tres veces hasta que sea instalada... así que es bastante improbable que la víctima asocie la primera instalación del "cambiador de voz" por ejemplo, con esta "actualización" que parece legítima de Facebook. El icono es similar y el nombre lo hace aun más confuso.


Esquema general del downloader

Esta nueva app descargada podría ser, literalmente, cualquier cosa. En este caso se hace pasar por Facebook, y el icono desaparece un segundo después de ser instalada. Si el  usuario tiene el Facebook real en su teléfono, pensará que se está autoactualizando, y probablemente no le otorgue mayor importancia. Pero la realidad es que se trata de un adware muy agresivo que será instalado por el usuario gracias a este truco de ingeniería social.

El icono del falso Facebook desaparecerá
Conclusiones

Los atacantes están especializándose cada vez más en que las apps lleguen a Google Play, y transformarlas luego en adware/malware a largo plazo. Esta operación a largo plazo les proporcionará más víctimas y estamos detectando este patrón cada vez más en apps maliciosas. El truco de ejecutar la app solo cuando el teléfono se desbloquea, otorga mayor "credibilidad" para la víctima.

Con Path5, hemos identificado a la persona detrás de estos ataques (un programador polaco). Ha estado operando desde finales de 2014. En estos momentos están activas unas 20 apps suyas en Google Play, de unas 100 que ha subido en las últimas semanas. La app que acabamos de analizar es  us.free.voice.changer.funny.voices.lolapps, con el SHA1: c0eb7cde5a1b3818a1d7af2f580f8ea3fa1e8d61

Las que parecen ser del mismo programador, usando técnicas similares, y todavía están online son:
  • TV remote controller, us.tv.remote.pilot.television.free.tool2, 88287f102bbd9cf3a3e5e7601b5bc8ee760d4525
  • Faster Wifi PRANK, us.phonehelper.wifi.booster.free, 74b2cc8d95c001832a4d4fb11ea3cb9638daf5e8
  • Visión nocturna gratis, us.night.vision.nightvision.free.useit, 1606ce1f616e3ba29ac021e4ce1ac1cb5e84b7a4
  • Funny voice changer, us.free.voice.changer.funny.voices.lolapps,c0eb7cde5a1b3818a1d7af2f580f8ea3fa1e8d61
  • Fake phone call, us.free.fake.call.caller.lolapps, 3b0a2b88effd264235e75984cea3bc77a6304e8b
  • Fake connection, us.fake.call.caller.free.usapps, 2f3c8a8cd1e5ecdad0e348484c72f25aff45d755
  • Faster internet PRANK, us.phonehelper.internet.booster.free, c2b083d0ce9d13e8df2f680f2901cd54778d385e
  • Increase battery life PRANK, us.phonehelper.battery.booster.free, 4890c7437268b65ef376515047c13e0eecffdd9a
  • Funny voice changer, us.free.voice.changer.funny.voices.lolapps, a97c7f6669c41ead0ba54928ebe2cad5ba706bc5
  • Transparent phone HD, us.transparent.screen.diaphanous.phone.lolapps, 64e44c0d234f96eff5f0e44305d25b35242b0e51
  • Flash-Player installation, us.flashapps.free.flashplayer, 9f0c9145f2a265d476b936830fa9dde3d024eab6
  • Diáfano teléfono (gratis),us.transparent.screen.diaphanous.phone.free.smartools,c6c2617f7cf512669f553876939e5ca367c9e746
  • Increase volume sound PRANK, us.phonehelper.sound.booster.free, 3e360ee39146cbd834280c18d656e3e9f6d0df2f
  • Termómetro electrónico gratis, us.digital.electronic.thermometer.free.measure.temperature.temp, 722f7f2c10c4b656ded858cf9f91a8c55ea226b6
  • Ski jumping 2015, us.ski.jumping.free.game.full.sportgames, 638a1c331e76bec73b1a46a451e4d1de6cd20879
  • FlashPlayer, us.flashapps.free.flashplayer2, 9f7aa1bc90770748681b08e3ee63dcb974195f7a
  • Falsa llamada entrante, us.free.fake.call.caller.smartools, fb9c05094eb1fdcfa8aec07eeff1e95ee7814e76
  • Increase network signal PRANK,us.phonehelper.signal.booster.free,495b151c5e709bfa50c671c8fb93cbeaee29e025
  • Control remoto para la TV, us.tv.remote.pilot.television.free.tool, dbfd108973388d6c1a506ac68b79463df8271f5c
  • Fake phone call, us.free.fake.call.caller.lolapps, e96d2ab7d8d0c7990be07bd42b9e9bc079e70f3a
  • Tonos para Navidad, us.christmas.ringtones.free.carols.mp3.ringtonedownloader, fa57543faf60073f56041caee0f1524cfc9f77dd


Sergio de los Santos
ssantos@11paths.com

Juan Manuel Tirado
juanmanuel.tirado@11paths.com


"Not today downloaders": New downloaders techniques in Google Play

Downloaders are not new in Android, but lately, they are getting more and more important for attackers as a method to avoid Google Play barriers and malware detection. In Eleven Paths we have detected downloaders that, under the appearance of innocent apps, are able to download a much more dangerous apk (literally, anything). It needs user interaction and the "install from unknown sources" checked, but the trick it uses to fool the victim is quite ingenious, and allows a second app to run without the user associating the future problems to the first one installed. Let's see how.

Downloaders are an old trick in PC and relatively not new in Android. These apps try to "find their way" to the victim, using less permissions, or even giving whatever feature they promise. This is how they get to Google Play. Then, in some future version, once they are consolidated in the market, they mutate. They become downloaders of some other much more complex adware or malware. Attackers are much more successful with these techniques. There are lots of techniques. Let's see a new one.

How it works

The apps we have found are not very detected by antivirus yet and, if they are, is mostly because of the aggressive ad techniques it uses, not for the download technique itself. Even a lot of them are still in Google Play. We are analyzing this one, which is still online.

One of the downloaders in Google Play

It is supposed to be a voice changer, and it indeed is, just saving a .wav file and modifying the frequency of reproduction. The app itself has three different SDKs from three different ad providers. This means the downloader itself floods the device with aggressive ads. But that is not enough... The app declares a receiver called "USER_PRESENT".


USER_PRESENT receiver, to activate when the user unlocks the device

This an official event that is launched every time the device "wakes up" by an user, in other words, basically when it is unlocked. This is the code when the event is received:

Code activated when the telephone is unlocked
Basically, what the app is doing is assuring that it has connectivity. Then it checks that is only launched once a day. This happens even when we are "out of the app". The app counts the times (with "k" variable) it has been executed and stores it in its preferences.

Downloading... but not today

The app does not download anything the same day the downloader has been installed. So it will avoid any "dynamic analysis". The user will install this voice changer, but will not notice anything strange until, at least, the next day. And then, the next day, another check is done. Every 2 out of 3 times it will visit the URL shown in the image. There, a txt file is pointing to some other app in Google Play, so the developer floods with "ads" the screen.

But the interesting part occurs when the app does not enter in this "if" clause and goes down the code. This method Gfveaqwfea checks for the existence of com.facebook app. It is not the official Facebook app (it is com.facebook.katana), but the adware that will be installed.

Checking if com.facebook exists, and if not, downloading the new app

The app checks if the device is ready to install apps from outside Google Play. This is very common in certain countries where the use of Google Play is limited. It is a common configuration as well as in the user's devices that like to install "unofficial" apps, so it will be very successful in these scenarios. If so, a.apk is downloaded from the URL and saved as xxx.apk.

Checks for "install from outside Google Play" permission. If available, it tries to download the new apk


The new apk in the "Download" folder
The user will see nothing and no question will be made. Then it is launched. Depending on the configuration of the device, if the user has associated automatically the execution to Verify Apps or Install Directly, an app selector will be shown or not. When this second app is being installed, this is what the user will see:

Looks like a legitimate Facebook update

It is important to remember that this image will appear when the user unlocks the telephone, the day after the original app was installed, and only 1 out of 3 times until it is installed... so it is very unlikely that the user associates the first installation of the "voice changer" for example, with this "update" that seems like a legitimate installation/update of Facebook. The icon is quite similar and the name makes it even more messy.


Downloader general scheme


This new downloaded app may be literally anything. In this case is impersonating Facebook and the icon disappears just a second after being installed. If the user has the real Facebook, he or she will think Facebook is just updating itself, and probably will forget about it. But the real thing is that a very aggressive adware has been installed by the user with this "social engineering" trick.

The icon of the fake Facebook will disappear
Conclusions

Attackers are getting more and more specialized right now in getting an app reaching to Google Play, and transforming it into adware/malware in the long term. This long term operation will give them more victims and we are detecting this pattern more and more in malicious apps. The trick about executing the app only when the telephone is unlocked, gives it an extra of "credibility" to the victim.

With Path5, we have found the person behind these apps (a Polish programmer). He has been operating since late 2014. There are right now about 20 apps like this still up in Google Play, from more than 100 from this same developer that have been in Google Play lately. The app we have just analyzed here is us.free.voice.changer.funny.voices.lolapps, with SHA1: c0eb7cde5a1b3818a1d7af2f580f8ea3fa1e8d61

The ones that seems to be from the same person, using the same techinque, and still online, are these:

  • TV remote controller, us.tv.remote.pilot.television.free.tool2, 88287f102bbd9cf3a3e5e7601b5bc8ee760d4525
  • Faster Wifi PRANK, us.phonehelper.wifi.booster.free, 74b2cc8d95c001832a4d4fb11ea3cb9638daf5e8
  • Visión nocturna gratis, us.night.vision.nightvision.free.useit, 1606ce1f616e3ba29ac021e4ce1ac1cb5e84b7a4
  • Funny voice changer, us.free.voice.changer.funny.voices.lolapps,c0eb7cde5a1b3818a1d7af2f580f8ea3fa1e8d61
  • Fake phone call, us.free.fake.call.caller.lolapps, 3b0a2b88effd264235e75984cea3bc77a6304e8b
  • Fake connection, us.fake.call.caller.free.usapps, 2f3c8a8cd1e5ecdad0e348484c72f25aff45d755
  • Faster internet PRANK, us.phonehelper.internet.booster.free, c2b083d0ce9d13e8df2f680f2901cd54778d385e
  • Increase battery life PRANK, us.phonehelper.battery.booster.free, 4890c7437268b65ef376515047c13e0eecffdd9a
  • Funny voice changer, us.free.voice.changer.funny.voices.lolapps, a97c7f6669c41ead0ba54928ebe2cad5ba706bc5
  • Transparent phone HD, us.transparent.screen.diaphanous.phone.lolapps, 64e44c0d234f96eff5f0e44305d25b35242b0e51
  • Flash-Player installation, us.flashapps.free.flashplayer, 9f0c9145f2a265d476b936830fa9dde3d024eab6
  • Diáfano teléfono (gratis),us.transparent.screen.diaphanous.phone.free.smartools,c6c2617f7cf512669f553876939e5ca367c9e746
  • Increase volume sound PRANK, us.phonehelper.sound.booster.free, 3e360ee39146cbd834280c18d656e3e9f6d0df2f
  • Termómetro electrónico gratis, us.digital.electronic.thermometer.free.measure.temperature.temp, 722f7f2c10c4b656ded858cf9f91a8c55ea226b6
  • Ski jumping 2015, us.ski.jumping.free.game.full.sportgames, 638a1c331e76bec73b1a46a451e4d1de6cd20879
  • FlashPlayer, us.flashapps.free.flashplayer2, 9f7aa1bc90770748681b08e3ee63dcb974195f7a
  • Falsa llamada entrante, us.free.fake.call.caller.smartools, fb9c05094eb1fdcfa8aec07eeff1e95ee7814e76
  • Increase network signal PRANK,us.phonehelper.signal.booster.free,495b151c5e709bfa50c671c8fb93cbeaee29e025
  • Control remoto para la TV, us.tv.remote.pilot.television.free.tool, dbfd108973388d6c1a506ac68b79463df8271f5c
  • Fake phone call, us.free.fake.call.caller.lolapps, e96d2ab7d8d0c7990be07bd42b9e9bc079e70f3a
  • Tonos para Navidad, us.christmas.ringtones.free.carols.mp3.ringtonedownloader, fa57543faf60073f56041caee0f1524cfc9f77dd


Sergio de los Santos
ssantos@11paths.com

Juan Manuel Tirado
juanmanuel.tirado@11paths.com


SmartID and SealSign on Mobile World Congress 2015

lunes, 23 de febrero de 2015

In this increasingly digital world, where users’ identity and privacy are exposed to continuous threats, from Telefónica and ElevenPaths have created a secure digital ecosystem which allows users to keep control of their personal data, preserve their digital identity and safeguard their privacy.

As already announced, we have incorporated in our identity and privacy solutions, SmartID, what is known as “strong authentication”, based on biometry, and, SealSign, as robust digital signature technology which prevents possible identity theft and opens up more ways to safely digitise business processes such as legal and commercial documents.

Both solutions will be on display at the Telefónica stand at the Mobile World Congress 2015 (MWC15), to be held from 2 to 5 March in Barcelona.

Currently, many of the security breaches we see involve an attack on people’s identities, so dealing with this is one of the most complex, but important, issues faced today. The reduction of fraud and problems related to identity theft must be a priority for individuals and companies in order to retain confidence in digital services and applications. Through these two new ElevenPaths solutions we are in a strong position to help provide this much needed protection as well as opening up new ways of working and accessing digital services.

1. SmartID is a solution which allows for more secure user authentication when accessing applications and physical equipment, by combining different elements such as smart cards, RFID/NFC devices and biometric fingerprint recognition.

SmartID essentially combines something you are (such as your fingerprint, face and voice recognition); something you have, such as your eID or your mobile phone, and finally, something you know, such as your user name, password or PIN to provide more complete identity protection and verification. Through a combination of these factors, identity theft in the authentication process is dramatically minimised in scenarios like accessing an e-commerce website, logging into your personal or work email account or when passing through security control at an airport. SmartID can also be integrated with Latch, the ElevenPaths “digital padlock” service which minimises the exposure time of personal data, therefore further reducing the risk of cyber-attacks and identity theft.

This solution is compatible with the new Spanish electronic ID, DNIe 3.0, which allows for secure identification and replaces common passwords with multi-credential systems which combine at least two factors to establish the user’s digital identity. By using SmartID Spanish companies can implement security solutions based on the new identity card quickly and easily, reducing fraud and identity theft.

2. SealSign is an electronic document-signing platform for companies, compatible with digital certificates, biometric systems, One-time Password (OTP) systems and the long-term storage of signed documents. This service offers a solution based on behavioural biometry, such as a user’s voice or signature. Biometric recognition coupled with electronic signatures allows user payments, among other things, to be protected, permits access to sensitive information to be safeguarded, and also enables electronic document signing in a safe way - saving businesses time and money.

To demonstrate the effectiveness of SealSign visitors will be challenged to forge the signature of a well-known personality showcasing the reliability and accuracy of the SealSign biometric signature solution.

Come to Hall Stand 3J2O and participate in our demos!

» Download press release in PDF

SmartID y SealSign en Mobile World Congress 2015

En un mundo cada vez más digital, donde la identidad y la privacidad de los usuarios está expuesta a continuas amenazas, desde Telefónica y ElevenPaths apostamos por la creación de un ecosistema digital seguro que genere confianza y que permita a los usuarios mantener el control sobre sus datos personales, preservar su identidad digital y asegurar su privacidad.

Como ya os anunciamos hace unos meses, hemos incorporado en nuestras soluciones de identidad y privacidad, SmartID, la denominada “autenticación fuerte” basada en biometría, sistema que combina diferentes variables para asegurar que el usuario es quien dice ser, y, SealSign, la solución de firma electrónica, que evita posibles suplantaciones de identidad.

Ambas soluciones se podrán ver en el stand de Telefónica en el Mobile World Congress 2015 (MWC15) que se celebra del 2 al 5 de marzo en Barcelona.



Actualmente, todas las brechas de seguridad están atacando a la identidad de las personas, por lo que su gestión es uno de los puntos más complejos en el que trabajamos día a día en seguridad. Una prioridad para las personas y empresas, es reducir el fraude y problemas derivados de la suplantación de identidad, y desde ElevenPaths queremos fomentar la confianza digital de los usuarios:

1. SmartID es una solución que permite la autenticación más segura de los usuarios para el acceso a equipos y aplicaciones combinando diferentes factores como smart cards, dispositivos RFID/NFC o reconocimiento biométrico de la huella dactilar.

SmartID combina tecnologías como el reconocimiento biométrico o el NFC/RFID para proporcionar “autenticación fuerte”: algo que soy (huella dactilar, reconocimiento cara y voz), algo que tengo, como mi DNIe o mi teléfono móvil y, por último algo que sé, como es el usuario y la contraseña o un PIN. De esta manera se evita la suplantación en el proceso de autenticación por ejemplo a la hora de acceder a una web de comercio electrónico, al iniciar sesión en un correo electrónico personal o laboral, o en los controles de seguridad de un aeropuerto. SmartID puede además integrarse con nuestra solución Latch, lo que permite reducir el tiempo de exposición de los datos personales, y por tanto, de riesgo a ciberataques, además de minimizar el riesgo de fraude en caso de que alguien intente utilizar las credenciales del usuario.

Esta solución es compatible con el nuevo DNIe 3.0, permitiendo una identificación segura y sustituye las contraseñas habituales por sistemas multi-credencial que combinan al menos dos factores para demostrar la identidad digital del usuario. De esta forma, con SmartID las empresas pueden implementar soluciones de seguridad basadas en el nuevo DNI de una forma rápida y sencilla ayudándolas a reducir el fraude y la suplantación de identidad.

2. SealSign, por su parte, es una plataforma para empresas modular y completa de firma de documentos electrónicos, compatible además con certificados digitales, sistemas biométricos, sistemas OTP y archivo a largo plazo de documentos firmados. El servicio ofrece una solución basada en la biometría de comportamiento, como por ejemplo la voz o la firma del usuario. El reconocimiento biométrico, en el ámbito de las soluciones de firma electrónica, permite proteger, entre otras cosas, pagos realizados por el usuario, salvaguardar el acceso a información sensible o firmar documentos.

A través de SealSign, por ejemplo, todos aquellos que os acerquéis al stand de Telefónica podréis comprobar el grado de fiabilidad de la solución de firma biométrica a través de una sencilla demostración en la que el usuario debe imitar la firma de un personaje conocido.

Acércate al Hall 3 Stand 3J20 y ¡participa en nuestras demos!

» Descargar nota de prensa en PDF

JSDialers: apps calling premium rate numbers (with new techniques) in Google Play

viernes, 20 de febrero de 2015

During last year, a lot of "made in Spain" malware was found in Google Play. It was basically malware that tried to silently subscribe the victim to premium SMS numbers. From a while now, the problem has vanished, and it was hard to find this kind of apps, at least in Google Play. In Eleven Paths we have found seven apps during these last weeks that use new techniques based in JavaScript, more dynamic and smart. They managed to upload fraudulent apps to Google Play. We have called them JSDialers. Let's see how they work.

With Google Play more vigilant about SMS premium apps in their market, the attackers have tried some other techniques that avoids Java and focus in JavaScript received from the servers. Besides, they do not only subscribe to SMS premium services, but they make phone calls to premium rate numbers. Everything in a very smart way, because, for example, they try to mute the telephone and microphone during the phone calls, tries to hide the phone call itself from the screen... and take the whole code from the servers instead of embedding it.

What the user perceives

When the user downloads and installs any of these apps, something like this will be shown.


First views of the apps

These are the typical "terms and conditions" that probably nobody will read. Accepting them implies making the phone call in an automatic and transparent way for the user. The image "Aceptar" image shown, is taken from this jpg file:

hxxp://www.contentmobileapps.com/called/images/continuar_call_100.jpg

Whatever the user responds about the age, the device will show an animation (a GIF taken from here hxxp://www.contentmobileapps.com/called/images/loading.gif) while the actual phone call is done to a premium rate number.

GIF shown to the user while the phone call is done

It seems that, depending on the phone, a green bar may appear during a few seconds, but the developer tries to hide it.

The device making the call may be detected in the background

The attacker mutes the telephone and microphone so the user is unable to hear the message of the phone calling and the locution.

On the last line one can observe the attempt to mute the microphone and device volume

The victim will be subscribed to this service and will have to face the costs of premium rate calls. The user will now be able to browser the recipes, but the phone call has already been made.

The app is just some links to a web, but the phone call has been made

Once clicking on the "Help" button, the option to unsubscribe is given.

The app offers instructions on how to cancel the subscription

What happens and how does it work?

These apps depend strongly on the servers and work via Cordova plugin. It is a set of device APIs that allow a developer to access device functions via JavaScript... The permissions of the analyzed app are these, although they are not the same in all of them. Some of them lack of the SMS permissions.


Permissions in one of the apps. Some of them lack SMS permissions

The first thing the app does is executing a WebView with Cordova that shows an internal HTML.

The obfuscated domain starts the real communication with the server
A request like this is done: hxxp://highmas.com/alcalinas/home.php?movil=ffffffff-XXXX-ffff-ffffd6de17fd&version=16&modelo=GT-XXXX%20(goldenxx). The user will receive a welcome screen and will be asked for his/her age. Whatever is clicked, the app will go to the same function that gathers some information with a form. The value in CAPTCHA field is useless. It seems to belong to some discarded proofs.

Form sent to the server
A web redirect after the request, takes the user to a webpage where the country and carrier is checked.

The app checks the country and carrier via JavaScript
Once everything is checked, terms and conditions are shown. When accepted, the app calls"term_acept.asp", which finally returns dynamically the premium rate number to be called.

The premium rate number is returned. The app will make an unnoticed phone call

With Cordova's help and a dialler plugin, it finally makes an actual phone call.


Some other interesting info and more apps

The developers have found a way to get back to fraudulent activity with premium rate phone calls. Who is behind these apps? The domains being used and terms and conditions are very clear. We are investigating the developers and some other apps they have, and will try to offer a report soon.

With Path5, we could find similar apps. Some of them have already been removed, but not all of them. They are working on uploading fraudulent apps since early January.





Some examples of found apps

Some apps have mutated from apps related with cars (in Japanese), to porn. This is the preferred way to hide better in Google Play.


App that changed at some point
These are the applications, package names and hashes. Only one of these apps has been analyzed in Virustotal, and it was not detected by any engine so far.

  • Videos hd peliculas porno sexo, com.gepekline, 6f1c3a596920298873f1e38842f751991875e6d6
  • Peliculas videos sexo Porno hd,com.wheelpvies,34b2bba921e9b7d9c8242d31e2cc011908684d9a
  • Videos hd peliculas porno sexo ,com.spportss,ada71fc53f9aae5f84cc69814b58f65f1e273067
  • Canciones infantiles y videos, com.sursongsonline, 1fcce1b8effdcbdef54cc02675eefc5214fec67b
  • Peliculas videos porno sexo hd,com.escarsysview, 031490dd0b824c02be7d0fe728d67f998ef7c914
  • Cine estrenos peliculas online, com.filmsmeka, e856cd2d4a366abbb1df18c8bc53c7a35a6da535
  • Un millón de recetas de cocina, com.recippes, 194362c46b124161a5289d1d3c4c56f93b142044

With our database, we have been able to locate some other apps, and prove that the developers behind  them come from Valencia and have been working on these frauds for a few months now.

Fraudulent JSDialers in our data base


The whole document is available here:




Sergio de los Santos
ssantos@11paths.com
@ssantosv

Juan Manuel Tirado
juanmanual.tirado@11paths.com

Miguel Ángel García
miguelangel.garcia@11paths.com

ElevenPaths en la RootedCON 2015

jueves, 19 de febrero de 2015

Sólo 15 días y tendrá lugar otra edición más de la ya consolidada RootedCON. Reconocido como uno de los eventos referentes sobre hacking a nivel nacional e internacional, este año lo hace con alto nivel tanto entre sus ponentes como en los RootedLabs que se celebran los días previos al congreso.

ElevenPaths tendrá una buena representación y presencia en el evento contando con tres ponencias y un par de labs. Toma nota:

Además, nuestros compañeros Yaiza Rubio y Félix Brezo hablarán sobre Criptodivisas (en su investigación se ha procedido a analizar las amenazas a las que se encuentran expuestos los usuarios de monederos de Bitcoin) en su charla How I met your eWallet.

Como ya es tradición, los tres días previos al evento, tendrán lugar los talleres de formación también conocidos como RootedLabs:

Pásate por nuestro stand, ven a conocer a nuestros expertos y pregúntales todo lo que necesites, participa en nuestras demos: os enseñaremos cómo funciona Path5, nuestra innovadora herramienta de ciberinteligencia única en el mercado para luchar contra las amenazas del mundo móvil con la que ya hemos detectado varias amenazas y malware para Android previamente desconocidas, apúntate a nuestros RootedLabs…

Si estás por Madrid los días 5, 6 y 7 de marzo, no puedes perderte este encuentro, ¡te esperamos!

JSDialers: apps que llaman a números premium (con nuevas técnicas) en Google Play

martes, 17 de febrero de 2015

Durante el año pasado se descubrió en Google Play bastante malware "made in Spain" que intentaba suscribir de forma automática a servicios SMS premium. Desde hace algún tiempo, el problema ha remitido, y es difícil encontrar especímenes de ese tipo al menos en Google Play. En Eleven Paths hemos encontrado siete aplicaciones durante estas últimas semanas, que usan nuevas técnicas basadas en JavaScript más dinámicas e ingeniosas y así han conseguido subir a Google Play apps fraudulentas. Los hemos llamado JSDialers. Veamos cómo.

Agotado el filón de los SMS premium en Google Play, los atacantes han optado por otra técnica que elude en lo posible el código en Java y se centra en JavaScript recibido de los servidores. Además, también prescinden algo de las suscripciones SMS y en su lugar realizan llamadas a números de tarificación especial. Todo de forma muy inteligente, puesto que silencia el teléfono mientras hace la llamada, intenta ocultar la pantalla y además, toma todo el código de forma dinámica.

Lo que percibe el usuario

El usuario bajará una de estas aplicaciones, y verá algo así. La secuencia de imágenes es la siguiente.


Primeras pantallas que recibe el usuario

Las típicas "condiciones de servicio" y pregunta por mayoría de edad, que probablemente nadie lea. Aceptarlas implica realizar la llamada de forma totalmente automática y transparente para el usuario. De hecho, la imagen de "Aceptar" que se muestra está tomada de este enlace:

hxxp://www.contentmobileapps.com/called/images/continuar_call_100.jpg

Lo interesante es que respondiendo cualquier opción, el teléfono mostrará una animación (un GIF descargado desde aquí hxxp://www.contentmobileapps.com/called/images/loading.gif) mientras en realidad se realiza una llamada a un teléfono de tarificación especial.

Gif que se muestra al usuario mientras se realiza la llamada.

Parece que según el teléfono, aparecerán durante muy pocos segundos la barra de llamada pero el programador intenta ocultarla por todos los medios.

A veces, se observa que se está realizando una llamada entre bambalinas

El atacante silencia el micrófono y altavoz para que el usuario no perciba el mensaje que la llamada se está realizando y la locución.

En la última línea se observa el intento de silenciar micrófono y volumen del auricular

La víctima quedará suscrita a este servicio y tendrá que asumir los costes especiales de la llamada. El usuario pasa a consultar las recetas, pero la llamada ya ha sido realizada.

La app son una serie de enlaces a una web, pero realmente ha realizado la llamada

También es cierto que en la parte de "ayuda" de la aplicación, se ofrece la opción de cancelar la suscripción.

La app ofrece instrucciones para cancelar la suscripción

¿Qué ocurre y cómo funciona?

Estas apps dependen fuertemente del servidor y funciona a través de Cordova. Se trata de una librería que permite acceder a funciones del teléfono a través de JavaScript. Los permisos de la app estudiada son estos, aunque no coinciden en todas. Algunas no disponen de permisos SMS.


Permisos de una de las apps. Algunas no tienen permisos de envío SMS

Lo primero que hace la app es ejecutar un WebView con Cordova, que llama a un html interno.
El dominio ofuscado comienza la comunicación real con el servidor
Esto realiza una petición del tipo  hxxp://highmas.com/alcalinas/home.php?movil=ffffffff-XXXX-ffff-ffffd6de17fd&version=16&modelo=GT-XXXX%20(goldenxx), y el usuario recibirá la pantalla de bienvenida y se le pregunta por la edad. Pulse lo que pulse el usuario, irá a la misma función, que recopila cierta información a través de un formulario. El valor del Captcha es irrelevante, y parece que se trata de algo que se pensó, pero no se llegó a implementar.

Formulario que envía al servidor con información
Un redirect tras la petición, lleva al usuario a una página de comprobación del operador y el país.

La app comprueba a través de JavaScript el operador y el país
Una vez comprobado todo, muestra las condiciones de servicio. Aceptadas las condiciones, llama a "term_acept.asp", que por fin devuelve dinámicamente el número al que se debe llamar.

Aquí devuelve ya el número de tarificación especial al que va a llamar de forma automática

Con ayuda de la ejecución de Cordova y un plugin de llamadas, consigue su objetivo:


Otros datos de interés y más apps

Los creadores han encontrado así una forma de volver a la actividad fraudulenta con las llamadas a números de tarificación especial. ¿Quiénes están detrás de estas apps? Los dominios y la letra pequeña lo dejan claro. Estamos realizando una investigación más profunda sobre los autores y las aplicaciones que intentaremos ofrecer más adelante.

Con Path5 hemos podido encontrar otras aplicaciones similares. Algunas han sido retiradas pero no todas aún. Operan desde principios de enero.





Algunos ejemplos de las apps encontradas

Algunas han mutado desde apps de coches (en japonés), a supuestas apps pornográficas. Una vez más, es la fórmula para pasar un poco más desapercibido en Google Play.


App que mutó en algún momento
Estas son las aplicaciones, el nombre de paquete y hashes estudiados. Solo una app ha sido analizada en Virustotal, y no es detectada por ningún motor antivirus por ahora.

  • Videos hd peliculas porno sexo, com.gepekline, 6f1c3a596920298873f1e38842f751991875e6d6
  • Peliculas videos sexo Porno hd,com.wheelpvies,34b2bba921e9b7d9c8242d31e2cc011908684d9a
  • Videos hd peliculas porno sexo ,com.spportss,ada71fc53f9aae5f84cc69814b58f65f1e273067
  • Canciones infantiles y videos, com.sursongsonline, 1fcce1b8effdcbdef54cc02675eefc5214fec67b
  • Peliculas videos porno sexo hd,com.escarsysview, 031490dd0b824c02be7d0fe728d67f998ef7c914
  • Cine estrenos peliculas online, com.filmsmeka, e856cd2d4a366abbb1df18c8bc53c7a35a6da535
  • Un millón de recetas de cocina, com.recippes, 194362c46b124161a5289d1d3c4c56f93b142044

Con nuestra base de datos, hemos comprobado que parece que se trata de un equipo que opera desde Valencia desde hace algunos meses.

Apps de estos desarrolladores en nuestra base de datos


El documento está disponible aquí:





Sergio de los Santos
ssantos@11paths.com
@ssantosv

Juan Manuel Tirado
juanmanual.tirado@11paths.com

Miguel Ángel García
miguelangel.garcia@11paths.com