#CyberSecurItyAvatar: Maksim, uno de los atacantes más prolíficos para Android, aumenta su actividad maliciosa

martes, 7 de noviembre de 2017

Según las bases de datos de amenazas de las que dispone ElevenPaths, a partir de mayo de 2016, comenzó a detectarse una amenaza que afectaba a dispositivos Android de la que, según la figura siguiente, se pudo identificar un repunte de conexiones activas el pasado mes de marzo. 


Figura 1. Número de sesiones activas vinculadas al arsenal de Maksim.

El actor llamado Maksim descargaba aplicaciones legítimas y populares, las desempaquetaba, introducía el código malicioso para luego distribuirlas troyanizadas a través de webs de aplicaciones, la gran mayoría de juegos. 

Gran parte de las infecciones se realizaron a través de la navegación web, además de haberse detectado que las industrias más afectadas por esta amenaza han sido la industria al por mayor y la destinada a la alta tecnología. Asimismo, la amenaza procedería de países como Rusia, Alemania y Holanda con un mayor impacto en Estados Unidos y Armenia.

Herramientas
Se le ha podido atribuir numerosas aplicaciones maliciosas a través de la correlación de las apk disponibles en las webs manejadas por el atacante. Además, son muchas y variadas las funcionalidades detectadas en las aplicaciones que utiliza en su arsenal, entre las que se encuentran las siguientes:
  • Inyecta troyanos en aplicaciones legítimas cuyo objetivo era entregar publicidad a las víctimas, enviar SMS e incluso obtener el control administrativo y remoto del dispositivo. Otro de los troyanos utilizados incorporaba sistemas legítimos para protegerse del análisis y la detección del mismo. Adicionalmente, mostraba un alto nivel de sofisticación al ser capaces de omitir el sistema de aviso de carga, utilizado para notificar a los usuarios el precio de un servicio Premium, y requerir la autorización del usuario.
  • Incorpora librerías de Adware en aplicaciones legítimas para obtener información de los dispositivos como las aplicaciones instaladas o ejecutándose, el operador y la geolocalización entre otra información para ser enviada al servidor command and control (C&C). Algunas de estas librerías usan el método ClassLoader clásico que permite cargar y ejecutar código dinámicamente.
  • Usa familias de malware con capacidad de enviar información del dispositivo a un servidor de command and control. En este sentido, enviaba SMS a instituciones financieras para consultar saldos de cuenta, cargaba cualquier SMS entrante (incluidos los resultados de la consulta de saldo) en el servidor C2, envía SMS a números de teléfono de los contactos de la víctima y reenvía las llamadas entrantes para interceptar la autenticación en dos pasos basadas en voz.
  • Utiliza troyanos SMS con amplias funcionalidades como pueden ser el envío de mensajes de texto Premium a un número específico o el envío de mensajes de texto generalmente con un enlace a una web manejada por sí mismo o a una amenaza diferente. Usualmente obtiene la lista de contactos y los mensajes de texto del dispositivo de la víctima o incluso borra los mensajes de texto entrantes que cumplan con los criterios establecidos por el C&C.
  • Utiliza ransomware específicamente diseñado para Android, el cual bloquea la pantalla y no sólo cifra los archivos existentes, sino que también infecta los ejecutables, actuando así como un virus parásito.
                            Figura 1. Número de sesiones activas vinculadas al arsenal de Maksim.

Técnicas
Maksim utiliza diversas técnicas para la distribución del malware. La más utilizada consiste en registrar dominios publicar aplicaciones legítimas con código malicioso inyectado. Sin embargo, en otra de sus campañas, se han identificado una serie de subdominios maliciosos registrados bajo un dominio legítimo perteneciente a un conocido proveedor de servicios de alojamiento compartido en Rusia. 


En este sentido, para atraer a las víctimas a que descargaran el malware, en ocasiones, realizaba un ataque de phishing por SMS en el que se incluía una URL maliciosa. De esta manera, al hacer click, el dispositivo de la víctima quedaría infectado. Y, por último, otra de las técnicas comunes usadas es el uso de instaladores que aparentemente parecen de otras aplicaciones.

Aquí encontrarás más información sobre este threat actor y los indicadores de compromiso asociados al caso.



Miguel Ángel de Castro Simón
Senior Cybersecurity Analyst at ElevenPaths
Intelligence Analyst at ElevenPaths' Innovation Lab
@yrubiosec
yaiza.rubiovinuela@telefonica.com


No hay comentarios:

Publicar un comentario