Autor: Pierluigi PaganiniFuente: https://securityaffairs.co
Investigadores de Avast, la empresa de antivirus, están investigando el descubrimiento de malware preinstalado que se encuentra en 141 dispositivos Android de bajo costo en más de 90 países.
Los expertos en seguridad de la firma Antivirus Avast descubrieron un nuevo caso de malware preinstalado en dispositivos Android de bajo costo, los delincuentes inyectaron el código malicioso en el firmware de 141 modelos.
La operación está relacionada con el descubrimiento realizado en diciembre de 2016 por investigadores de la firma de antivirus Dr. Web, cuando los expertos informaron que una banda delictiva había comprometido la cadena de suministro de varios operadores de telefonía móvil, infectando dispositivos móviles con malware.
En 2016, el malware infectó el firmware de al menos 26 modelos de tabletas y teléfonos inteligentes Android de bajo costo. El firmware de una gran cantidad de dispositivos Android populares que operan en la plataforma MediaTek se vio comprometido con al menos dos tipos de troyanos de descarga.
Ambos malware encontrados en dispositivos móviles Android de bajo costo, detectados como Android.DownLoader.473.origin y Android.Sprovider.7, fueron capaces de recopilar datos de los usuarios, mostrar anuncios además de ejecutar aplicaciones y descargar aplicaciones no deseadas. Estos teléfonos inteligentes y tabletas Android de bajo costo se comercializaron principalmente en Rusia.
En el presente, los expertos de Avast creen que la misma pandilla criminal todavía está activa y continúa la misma operación al comprometer el firmware de muchos otros dispositivos mediante la inyección de un malware denominado Cosiloon.
Los investigadores descubrieron dispositivos infectados en más de 90 países, y todos ellos usan un chipset Mediatek, pero MediaTek no es la causa principal de las infecciones porque solo el firmware de algunos dispositivos del modelo de un teléfono inteligente afectado está contaminado con malware. Esto significa que los atacantes no pusieron en peligro los componentes de firmware de MediaTek.
"El adware que analizamos ha sido descrito previamente por el Dr. Web y se conoce con el nombre de " Cosiloon ". Como se puede ver en las capturas de pantalla a continuación, el adware crea una superposición para mostrar un anuncio en una página web dentro del navegador de los usuarios. El adware ha estado activo durante al menos tres años y es difícil de eliminar, ya que está instalado en el nivel de firmware y utiliza una fuerte ofuscación ", se lee en el análisis publicado por Avast.
"Miles
de usuarios se ven afectados, y solo en el último mes hemos visto la
última versión del adware en alrededor de 18,000 dispositivos
pertenecientes a usuarios de Avast ubicados en más de 100 países, entre
ellos Rusia, Italia, Alemania, el Reino Unido, así como algunos usuarios en los EE. UU. "
Avast publicó una lista de más de 140 teléfonos inteligentes y tabletas con Android en la que dice que encontró el malware del grupo, al que denominaron Cosiloon.
El malware de Cosiloon es el mismo que fue detectado en 2015 por el Dr. Web y, según los expertos, no ha recibido ninguna actualización.
El malware se compone de dos APK por separado, el dropper(malware) y la carga útil. En las versiones anteriores del malware, los expertos notaron una aplicación de adware separada preinstalada en la partición / system, en las variantes más recientes los investigadores encontraron una nueva carga útil caída.
"Una segunda variante del dropper(malware) es un poco más interesante. El código es prácticamente el mismo que la primera variante, pero no es una aplicación de sistema separada. El código está integrado en SystemUI.apk, una parte integral del sistema operativo Android. Esto hace que el dropper sea prácticamente imposible de eliminar por el usuario ", continúa el análisis.
El dropper se ejecuta desde la carpeta "/ system" con todos los privilegios de root, descarga un archivo XML de un servidor remoto y luego instala otras aplicaciones maliciosas.
En casi cualquier infección, los códigos maliciosos se usaban para mostrar anuncios en la parte superior de las aplicaciones móviles o en la interfaz del sistema operativo Android.
Cosiloon preinstalado de malware
Los expertos notaron que el malware preinstalado no elimina ninguna aplicación maliciosa si el idioma del dispositivo está configurado en chino, cuando la dirección IP pública del dispositivo también es de un rango de IP chino, y cuando la cantidad de aplicaciones instaladas es inferior a tres (una circunstancia que podría indicar que el malware se está ejecutando en un entorno de prueba).
Los investigadores de Avast confirmaron que el punto de infección sigue siendo un misterio debido a la gran cantidad de proveedores involucrados, la detección del malware en muy complicado como se explica en el análisis.
"Detectar el malware se complica aún más por el hecho de que es una aplicación del sistema, parte del firmware de solo lectura del dispositivo, que está integrado en el dispositivo enviado de fábrica", continúa el análisis.
"Además, es probable que esté indexado en la mayoría de los firmwares, lo que significa que el código de la aplicación se eliminó del archivo APK original, optimizado y almacenado por separado durante el proceso de creación del firmware. Como resultado, es probable que las firmas de ciberseguridad pierdan muchas de las muestras de cuentagotas y tengan que depender de la carga útil para la detección y las estadísticas ".
Los expertos creen que los atacantes son oportunistas y apuntan de alguna manera a la cadena de suministro al azar, cada vez que tienen la posibilidad de comprometer el firmware de los proveedores.
El servidor de control estaba arriba hasta abril de 2018, los ladrones han producido nuevas cargas mientras que varios fabricantes han enviado nuevos dispositivos con el malware preinstalado. Los expertos han intentado desactivar el servidor C & C de Cosiloon enviando solicitudes de eliminación al registrador de dominio y proveedores de servidores. Mientras que el proveedor ZenLayer cerró rápidamente el servidor, pero los ladrones cambiaron sus actividades a otro proveedor que no respondió a la solicitud de Avast. "Avast Mobile Security puede detectar y desinstalar la carga, pero no puede adquirir los permisos necesarios para desactivar el malware, por lo Google Play Protect tiene que hacer el trabajo pesado ", concluyó Avast." Si su dispositivo está infectado, debería desactivar automáticamente tanto el malware como la carga útil. Sabemos que esto funciona porque hemos observado un descenso en la cantidad de dispositivos infectados por las nuevas versiones de carga después de que Play Protect comenzó a detectar Cosiloon ". En el análisis de Avast se incluyen más detalles, incluidos IoC para el malware preinstalado de Cosiloon.
Los expertos notaron que el malware preinstalado no elimina ninguna aplicación maliciosa si el idioma del dispositivo está configurado en chino, cuando la dirección IP pública del dispositivo también es de un rango de IP chino, y cuando la cantidad de aplicaciones instaladas es inferior a tres (una circunstancia que podría indicar que el malware se está ejecutando en un entorno de prueba).
Los investigadores de Avast confirmaron que el punto de infección sigue siendo un misterio debido a la gran cantidad de proveedores involucrados, la detección del malware en muy complicado como se explica en el análisis.
"Detectar el malware se complica aún más por el hecho de que es una aplicación del sistema, parte del firmware de solo lectura del dispositivo, que está integrado en el dispositivo enviado de fábrica", continúa el análisis.
"Además, es probable que esté indexado en la mayoría de los firmwares, lo que significa que el código de la aplicación se eliminó del archivo APK original, optimizado y almacenado por separado durante el proceso de creación del firmware. Como resultado, es probable que las firmas de ciberseguridad pierdan muchas de las muestras de cuentagotas y tengan que depender de la carga útil para la detección y las estadísticas ".
Los expertos creen que los atacantes son oportunistas y apuntan de alguna manera a la cadena de suministro al azar, cada vez que tienen la posibilidad de comprometer el firmware de los proveedores.
El servidor de control estaba arriba hasta abril de 2018, los ladrones han producido nuevas cargas mientras que varios fabricantes han enviado nuevos dispositivos con el malware preinstalado. Los expertos han intentado desactivar el servidor C & C de Cosiloon enviando solicitudes de eliminación al registrador de dominio y proveedores de servidores. Mientras que el proveedor ZenLayer cerró rápidamente el servidor, pero los ladrones cambiaron sus actividades a otro proveedor que no respondió a la solicitud de Avast. "Avast Mobile Security puede detectar y desinstalar la carga, pero no puede adquirir los permisos necesarios para desactivar el malware, por lo Google Play Protect tiene que hacer el trabajo pesado ", concluyó Avast." Si su dispositivo está infectado, debería desactivar automáticamente tanto el malware como la carga útil. Sabemos que esto funciona porque hemos observado un descenso en la cantidad de dispositivos infectados por las nuevas versiones de carga después de que Play Protect comenzó a detectar Cosiloon ". En el análisis de Avast se incluyen más detalles, incluidos IoC para el malware preinstalado de Cosiloon.
0 Comentarios