Una investigación de ESET de un año de duración, sobre una campaña de adware, encontró 42 aplicaciones en Google Play que habían sido descargadas 8 millones de veces, junto con el actor malicioso vietnamita que estaba detrás del plan.
La campaña ha estado activa desde julio de 2018, y aunque todas las aplicaciones fueron reportadas a Google y eliminadas, todavía pueden encontrarse en tiendas de aplicaciones de terceros. Los tipos de aplicaciones que caían dentro de lo que ESET llama la familia de adware Ashas iban desde la radio FM gratuita hasta juegos y descargadores de archivos. Todos proporcionaron la funcionalidad que prometieron, junto con una buena dosis de adware.
Utilizando información obtenida de fuentes abiertas, además de la increíblemente pobre sensación de seguridad operativa del desarrollador malicioso, ESET fue capaz de determinar la identidad de la persona que estaba detrás de la campaña. Sin embargo, la empresa no reveló el nombre de la persona.
La primera prueba vino del registro del servidor de C&C, que tenía un nombre, correo electrónico, país, ciudad y número de teléfono. Mientras se verificaba la veracidad del correo electrónico proporcionado, ESET fue llevado a una lista de estudiantes que asistían a una universidad vietnamita, donde se descubrió que el nombre asociado con el correo electrónico también figuraba como estudiante.
La dirección de correo electrónico ahora confirmada también llevó a un repositorio GitHub vacío, y también se encontró un canal de YouTube que empujaba las aplicaciones de adware-laced, junto con un video tutorial sobre otro proyecto enfocado en Facebook, que muy amablemente contenía la imagen del estudiante y lo llevó a su página de Facebook.
ESET entonces se aprovechó de la pobre ciberseguridad de la universidad y encontró la fecha de nacimiento del actor malicioso, su número de identificación universitaria y algunas calificaciones de los exámenes.
El estudiante también tiene anuncios en la App Store de Apple, pero ninguno era malicioso.
Eso no puede decirse de las aplicaciones Android que esta persona desarrolló.
Todas las aplicaciones maliciosas siguieron la misma fórmula una vez descargadas.
La primera acción fue contactar con el servidor de mando y control. La dirección IP de C&C está codificada en base64 en la aplicación, y la aplicación pasa al servidor el tipo de dispositivo, la versión del sistema operativo, el idioma, el número de aplicaciones instaladas, el espacio de almacenamiento libre, el estado de la batería, si el dispositivo está enraizado y habilitado para el modo Developer, y si Facebook y FB Messenger están instalados.
Una vez recibida esta información, el servidor de C&C envía los datos de configuración a la aplicación para mostrar los anuncios de adware y para mantener el sigilo y la persistencia. El malware también se oculta del mecanismo de seguridad de Google Play, lo que se consigue asegurándose de que el dispositivo infectado no se encuentre dentro del rango de direcciones IP conocidas de los servidores de Google. Si el servidor devuelve esta bandera como positiva, la aplicación no activará la carga útil de adware.
Otro método utilizado para evitar ser probado por Google es retrasar la aparición del primer adware en 24 minutos, lo que debería ponerlo fuera del sobre de 10 minutos cuando se suele instituir una prueba. Además, la aplicación puede ocultar su icono o crear un acceso directo. De esta forma, si el usuario intenta eliminarlo, sólo se elimina el acceso directo mientras la aplicación sigue funcionando.
El adware se muestra como un anuncio completo que contiene un icono de Google o Facebook para que el usuario lo vea legítimo. Los creadores no ignoraron el backend y ocultaron el código bajo el nombre de paquete com.google.xxx porque algunas cajas de arena tienen los nombres de paquetes más blancos.
“Basándonos únicamente en la inteligencia de código abierto, pudimos rastrear al desarrollador del adware de Ashas, establecer su identidad y descubrir aplicaciones adicionales infectadas por el adware. Al ver que el desarrollador no tomó ninguna medida para proteger su identidad, parece probable que sus intenciones no fueran deshonestas al principio – y esto también se apoya en el hecho de que no todas sus aplicaciones publicadas contenían anuncios no deseados”, explicaron fuentes de ESET.
Con información de: ESET.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian