Android.Circle ad trojan y clicker se han instalado más de 700,000 veces


Los expertos de Doctor Web han identificado un bot de Android multifuncional en el directorio de Google Play, que los atacantes controlan utilizando los scripts de intérprete de Java BeanShell. Malvar combina la funcionalidad de un troyano publicitario y un clicker, y también puede usarse para realizar ataques de phishing.
El troyano recibió el nombre de  Android.Circle.1 y se distribuyó principalmente bajo la apariencia de colecciones de imágenes, programas con horóscopos, aplicaciones para citas en línea, editores de fotos, juegos y utilidades del sistema (los ejemplos se pueden ver a continuación). Los especialistas descubrieron 18 de sus modificaciones, cuyo número total de instalaciones superó los 700,000.
Actualmente, todos ellos ya se han eliminado de Google Play, y los dominios de los servidores de control malvari se eliminaron de la delegación.
Las aplicaciones aparentemente inofensivas realizaron las funciones declaradas en la descripción, por lo que los usuarios no tenían motivos para sospechar de una amenaza en ellas. Además, algunos de ellos, después de la instalación, suplantaron un componente importante del sistema, lo que les proporcionó protección adicional contra una posible eliminación.
Android.Circle.1 fue un bot que realizó varias acciones a las órdenes de los atacantes. Las funciones del bot se implementaron a través de la biblioteca de código abierto del troyano BeanShell. Es un intérprete de código Java con funciones de lenguaje de script basado en Java y le permite ejecutar código sobre la marcha. Cuando se inicia, el programa malicioso se conecta al servidor de administración, transfiere información sobre el dispositivo infectado y espera a que lleguen los trabajos.
El malware recibió tareas a través del servicio Firebase. El troyano los guardó en un archivo de configuración y extrajo scripts con comandos de BeanShell que luego ejecutó. Los analistas de Doctor Web registraron las siguientes tareas:
  • eliminar el ícono de la aplicación troyana de la lista de software en el menú de la pantalla principal;
  • elimine el icono de la aplicación troyana y cargue el enlace especificado en el comando en un navegador web;
  • realizar un clic (clic) en un sitio cargado;
  • Mostrar anuncio publicitario.
Por lo tanto, el objetivo principal de este malvari es mostrar anuncios y descargar varios sitios en los que el troyano imita las acciones del usuario. Por ejemplo, puede seguir enlaces en sitios, hacer clic en pancartas publicitarias u otros elementos interactivos (es decir, es un clicker). A continuación se dan ejemplos de anuncios.
Sin embargo, esto es solo una parte de las características que están disponibles para el malware. De hecho, el troyano también puede cargar y ejecutar cualquier código, estando limitado solo por los permisos del sistema disponibles del programa en el que está construido. Por ejemplo, si el servidor emite el comando apropiado, el malware podrá cargar el WebView con un sitio fraudulento o malicioso para un ataque de phishing. Al mismo tiempo, la ejecución de código de terceros por aplicaciones alojadas en Google Play es una violación directa de las reglas del catálogo.
Los investigadores escriben que Android.Circle.1 fue creado usando el motor Multiple APKs. Permite a los desarrolladores preparar y alojar múltiples versiones de un solo programa en Google Play para admitir varios modelos de dispositivos y arquitecturas de procesador. Gracias a este mecanismo, el tamaño de los archivos apk se reduce, ya que contienen solo los componentes necesarios para trabajar en un dispositivo en particular. Al mismo tiempo, los archivos con recursos, así como los módulos y las bibliotecas de aplicaciones se pueden ubicar en archivos apk separados (el denominado mecanismo dividido o dividido: APK dividido) y pueden existir o no en función del dispositivo de destino. Tales archivos apk auxiliares se instalan automáticamente junto con el paquete de programa principal y son percibidos por el sistema operativo en su conjunto.
Algunas de las funciones maliciosas de Malvari se llevaron a la biblioteca nativa, que se encuentra en uno de esos apk auxiliares. Por lo tanto, de hecho, múltiples APK se convierten en una especie de mecanismo de defensa personal del troyano. Si los especialistas en seguridad de la información descubren solo el paquete principal de Android.Circle.1, sin el resto de los archivos apk (con los componentes necesarios para el análisis), estudiar una aplicación maliciosa puede ser significativamente difícil o incluso imposible.
Además, en caso de un posible ataque dirigido, los atacantes pueden preparar muchas versiones "limpias" del programa e introducir el troyano en solo una o varias copias del mismo. Las modificaciones de troyanos se instalarán solo en ciertos modelos de dispositivos, y para otros usuarios la aplicación seguirá siendo inofensiva, lo que también reducirá la probabilidad de detección de amenazas operativas.
Aunque actualmente todas las modificaciones detectadas del troyano se han eliminado de Google Play, los expertos advierten que los atacantes pueden descargar nuevas versiones del malware en el directorio, por lo que los propietarios de dispositivos Android deben tener cuidado de instalar aplicaciones desconocidas.


No olvides Compartir... 
Siguenos en twitter: @disoftin - @fredyavila

Publicar un comentario

0 Comentarios