Detectando la nueva amenaza en Google Play

lunes, 12 de junio de 2017

El 22 de mayo de 2017 fue publicada una nueva amenaza para los dispositivos Android, que ha sido descubierta por las investigaciones del equipo de seguridad del “Georgia Institute of Technology” y que fue llamada como los personajes de Marvel “Cloak and Dagger”, debido a que su funcionamiento se basa en el uso de dos permisos que cualquier aplicación puede solicitar.

Puedes visualizar toda la información en el siguiente vídeo:


Al igual que los personajes del cómic, existe una capa o protector (Cloak), que evita que el usuario vea las verdaderas intenciones de la aplicación. En el malware, el permiso de SYSTEM_ALERT_WINDOWS funciona como la capa que oculta el ataque al usar la función de presentar en pantalla mensajes o alertas, muy típicas en aplicaciones de mensajería instantánea, redes sociales o Antivirus.

Por otro lado, la daga o puñal (dagger) se representa con el permiso de BIND_ACCESSIBILITY_SERVICE que es el usado en el ataque para extraer datos del móvil al aprovechar los accesos que entrega este permiso. Este permiso es usado para brindar mecanismo de apoyo a los discapacitados para acceder al dispositivo móvil usando comandos de voz.

Esta combinación le permite al atacante afectar todas las versiones de Android, incluyendo la última 7.1.2, entregándole al atacante el acceso completo al dispositivo a través de cualquier aplicación que este en la tienda de Google Play y la cual contenga estos dos permisos. Usando nuestra herramienta de análisis de aplicaciones móviles Tacyt, encontramos que existen más de 500 aplicaciones que contienen esos dos permisos, generando un total de 2282 versiones.

Ilustración 1. Aplicaciones que contienen los permisos necesarios para el ataque.

Esta cantidad de aplicaciones no están diseñadas para generar el ataque, sino que tienen estos permisos porque son necesarios para su funcionamiento, al igual que algunas aplicaciones de antivirus de fabricantes reconocidos como AVG, Symantec o Bitdefender, que suman más de 41 versiones de sus aplicaciones con estos permisos.

Ilustración 2. Aplicaciones reconocidas con estos permisos.

Sin embargo, haciendo un análisis más profundo sobre las aplicaciones detectadas, se encontraron 97 aplicaciones que comparten unas características bastante sospechosas. Todas tienen el mismo certificado digital y 96 de estas aplicaciones se han cargado a Google Play en el mes de Mayo, donde específicamente 39 de estas fueron después de la publicación de la investigación “Cloak and Dagger”.

Ilustración 3. Aplicaciones detectadas como sospechosas.

El análisis del certificado digital, el sitio web de desarrollador y de las características de las aplicaciones detectadas, nos permite indicar que todas son aplicaciones, tienen componentes similares y que todas ofrecen modificar la visualización típica del sistema.

Estas 97 aplicaciones están publicadas por 11 desarrolladores diferentes relacionados a 9 correos electrónicos diferentes, pero todos los que publica el sitio web del desarrollador indican el mismo sitio. Puede acceder al mismo en este enlace.

Ilustración 4. Nombre de los desarrolladores.

Estas aplicaciones también tienen en común que todas brindan al usuario un total de 43 permisos sobre el dispositivo, que les permiten con el ataque “Cloak and Dagger” no solo obtener la información de los usuarios sino el control total de los dispositivos.
Resaltan algunos permisos como:
  • Bluetooth_Admin
  • Call_Phone
  • Disable_Keyguard
  • Get_Account
  • Hardware_Test
  • Kill_Background_Process
  • Use_Fingerprint
  • Read_Logs

En conclusión, esta nueva amenaza ya está generando el interés de los ciberdelincuentes por las capacidades que brinda y la facilidad pasar los mecanismos de control de la tienda de Google Play. Éstos están usando aplicaciones que son de interés para diversos tipos de personas y así lograr la mayor cantidad de dispositivos infectados.

En la comunidad de ElevenPaths hemos creado un hilo para colocar las aplicaciones detectadas y algunas otras características que vamos identificando, esto acaba de empezar y vamos a seguir estudiándolo.

Diego Samuel Espitia Montenegro
CSA – Chief Security Ambassador

1 comentario:

  1. En la comunidad pueden encontrar la lista de las aplicaciones detectadas hasta hoy, en esta URL https://community.elevenpaths.com/elevenpaths/topics/cloak-and-dagger-nuevo-riesgo-en-android

    ResponderEliminar