El "circuito comercial" del adware/malware de Android

viernes, 19 de febrero de 2016

¿Cómo funcionan las mafias chinas a tiempo completo, creando malware para Android? ¿Controla una gran banda china, buena parte del adware más peligroso? Dr. Web descubrió hace poco malware/adware en Google Play que utiliza esteganografía para ocultar código en imágenes descargadas. En Eleven Paths lo hemos relacionarlo de nuevo con las últimas muestras de malware detectado en Google Play desde hace más de un año. Así que nos surge la pregunta: ¿cómo funcionan estas bandas? ¿cuál es el ciclo de vida de sus apps? ¿están asociadas de alguna forma?

Desde hace algún tiempo, diferentes casas antivirus, con apenas algunas semanas de diferencia, comenzaron a sacar a la luz malware aparentemente distinto y muy peligroso que se alojaba en Google Play puntualmente o en markets alternativos en masa.
  • Fortinet descubre en el verano de 2014 que en Google Play se aloja una familia de adware extremadamente agresivo que intenta rootear el teléfono, al que llamaron Odpa.
  • Cheetah Mobile habla de "Ghost Push" el 18 de septiembre de 2015. Malware difícil de desinstalar con 600.000 descargas.
  • El 21 de septiembre, CheckPoint destapaba BrainTest, un malware bastante sofisticado encontrado en Google Play capaz de rootear el teléfono con diferentes técnicas e instalar así malware alojado en otras partes. Este malware volvió a aparecer, algo evolucionado a finales de 2015 y de nuevo en Google Play.
  • El 22 de septiembre, FireEye descubre la campaña de NGE Mobi/Xinyinhe que rootea el teléfono y realizaba descargas encubiertas de otras apps. Esta "empresa" se dedica precisamente a la promoción de apps (Black ASO), elevando artificialmente el número des descargas de aplicaciones.
  • El 30 de septiembre, Trend Micro habla de nuevas variantes de Ghost Push con mejores funcionalidades y añadiendo el cifrado de APKs.
  • El 7 de octubre FireEye descubre "kemoge", una familia que rootea también el teléfono e instala cualquier aplicación en él. Además, resulta extremadamente difícil de eliminar del dispositivo. 
  • A finales de enero de 2016, Dr.Web detecta una nueva familia de Xynyn que utiliza esteganografía para descargar un apk en el teléfono, pero no intenta rootear.

Durante los últimos meses, se observaba lo que parecía una avalancha de malware para Android que muchas de las veces lograba colarse en Google Play, de origen chino y que siempre parecía estar muy relacionado con el adware más agresivo, buscando el rooteo para fines comerciales.

En ElevenPaths realizamos hace unos meses un estudio con Tacyt. Pudimos observar que todas estas familias (a las que, para más confusión, Lookout puso nombres como Shuane, Shedun, Shiftybug…) podrían pertenecer al mismo grupo de desarrolladores. La compartición de infraestructuras, similitudes en el código, uso de ciertas peculiaridades en su ensamblaje… nos remontaron a una misma mafia o grupo que operaría exitosamente desde al menos las primeras versiones de Opda en 2014, y que han ido evolucionando en sus técnicas hasta crear Kemoge o las últimas versiones de Brain Test que, aunque con nombre "comercial" diferente para las casas antivirus, vienen a ser muestras muy similares. Este último descubrimiento de Dr.Web, nos confirma lo que ya sospechamos: o pertenecen a la misma banda o bien existe una fuerte asociación mercantil entre ellas, y comparten "i+d" e infraestructura.

Pero también sabemos que entre cada noticia y noticia sobre nuevo malware que sale a la luz, la actividad de estos grupos no se detiene. Observamos con Tacyt decenas de apps en Google Play que si bien no contienen toda la carga del malware que aparece en las notas de prensa, sí que pertenecen a los mismos desarrolladores. Por poner un ejemplo, los autores de Shuabang, malware descubierto por Eleven Paths a finales de 2014, siguen publicando habitualmente hoy por hoy, adware menos agresivo en Google Play. Su pequeña "firma", que consiste en certificados cada uno diferentes, pero con una configuración muy especial en las que usan tres palabras en inglés aleatorias unidas en un campo, nos permite comprobar que su labor no cesa. Igual ocurre con los creadores de todo el malware nombrado más arriba. Siguen a diario publicando adware "poco agresivo" en Google Play, y sabemos que son ellos, y que están detrás de aplicaciones que no tienen por qué ser malware desde la primera versión, pero sí muy probablemente adware más o menos agresivo que más tarde va "madurando". Una prueba, es que tras varias semanas o meses online, casi todas las apps de estos autores terminan siendo retiradas. La estrategia con Tacyt es identificar al desarrollador, no solo o necesariamente la muestra, y ampliar la protección.

Así, en estas mafias la actividad de "perfil bajo" no se detiene y en cuanto pueden pasan al malware más agresivo. Saben que tarde o temprano serán cazados, retirados del market y detectados, pero durante ese corto espacio de tiempo, el beneficio se dispara. La actividad "de fondo", aunque con menor impacto, es más duradera en el tiempo y sus apps o bien no son retiradas nunca o bien pasan meses hasta que se reconocen como adware.

Modus operandi: El circuito comercial del malware chino.

Estas mafias o grupos tienen un objetivo y varios problemas a los que enfrentarse. El objetivo no es diferente a los del malware tradicional de escritorio: instalar su software en el mayor número de usuarios posible, para poder monetizar sus infecciones al máximo. El problema es que para realmente funcionar a gran escala, deben intentar sortear las barreras de Google Play y situarse así en el mejor de los escaparates. Dar con el código adecuado que eluda sus controles es complejo y lleva tiempo. Mientras lo consiguen o no, el adware "tolerado" o de "fácil absorción" en Google Play no deja de fluir. Saben que es de menor impacto, pero supone un beneficio continuo.


A la izquierda, tras pasar hace años por Google Play, hoy todavía es descargable la "linterna molona"
con estafa SMS en Mobogenie. A la derecha, también Brain Test todavía activo hoy en otro market alternativo.


De esta forma, el laboratorio de estas mafias, trabaja principalmente para introducir en Google Play el malware más sofisticado y que por supuesto pase desapercibido. Ese es el objetivo número uno, y muy pocas apps lo consiguen. Un caso de éxito absoluto, sería el alojar en Google Play apps que rooteen el teléfono por sí mismas con varios exploits, y una vez en este estado, descargar e instalar otro malware aún más potente que es muy complicado de eliminar del dispositivo. Y así lo han hecho a veces. Esto reporta muchas víctimas durante un corto periodo de tiempo, puesto que serán cazados y expulsados del market. Si Google o los antivirus neutralizan la técnicas, estas apps pasan a ser distribuidas en otros markets o circuitos con políticas más relajadas, donde seguirán infectando en una larga cola (menos usuarios, pero durante mucho más tiempo).

Un posible esquema de ciclo de vida de las apps

Durante los periodos de investigación, la actividad no cesa. Transversalmente, el adware más "común" no para de desarrollarse y ser introducido en Google Play, donde igualmente alimentan esa larga cola de beneficios. Estas apps van actualizándose con funcionalidades cada vez más agresivas, hasta que son eliminadas del market y pasan de nuevo a otros circuitos. Así, mantienen gracias a estas apps a su vez a otras compañías que se anuncian como gestoras de posicionamiento, ofreciendo descargas instantáneas, votos o comentarios positivos "al peso".

Conclusiones

Quizás esto sugiere que el malware profesional chino está muy pocas manos, y centrado en el adware agresivo y rooteo de sistemas para robar información. En términos muy parecidos podríamos hablar de la "otra industria", el malware bancario para Android que se genera fundamentalmente en los países del este, como ha pasado tradicionalmente con el malware de escritorio. De este ejemplo tenemos por ejemplo el último Mazar BOT, con respecto al que, por cierto, hemos podido inferir que es muy posible que la gente de Slembunk esté detrás.

En resumen, una fórmula "piramidal" que les permite trabajar todo el tiempo, a diferentes escalas y niveles, con picos de mayor éxito.

Sergio de los Santos
ssantos@11paths.com

No hay comentarios:

Publicar un comentario