Análisis de APPs relacionadas con COVID19 usando Tacyt (II)

Seguimos con la investigación comenzada en la entrada anterior en la que analizamos este tipo de aplicaciones con nuestra herramienta Tacyt. Relacionado con la aplicación analizada, podemos observar que un rápido vistazo a los permisos en Tacyt ya nos deja bien claro que no nos hallamos ante una APP convencional: permisos de llamadas, cuentas, SMS, eliminación de procesos, NFC, grabar audio y un largo etcétera.

Todo esto es mucho más propio de una APP maliciosa que de una APP legítima, sea cual sea su funcionalidad. Las probabilidades de que sea un troyano que se ejecute en segundo plano para poder acceder a información sensible generada a través del dispositivo móvil son, por tanto, elevadas.

Destacan como críticos los siguientes permisos que la APP necesita para poder ejecutarse en el terminal:

• android.permission.CALL_PHONE: permite que una aplicación inicie una llamada telefónica sin pasar por la interfaz de usuario del marcador para que el usuario confirme la llamada.
• android.permission.INTERNET: permite que las aplicaciones abran conexiones de red.
• android.permission.NFC: permite que las aplicaciones realicen operaciones de E/S a través de NFC.
• android.permission.READ_CONTACTS: permite que una aplicación lea los datos de los contactos del usuario.
• android.permission.READ_PHONE_STATE: permite el acceso de solo lectura al estado del teléfono, incluida la información actual de la red celular, el estado de las llamadas en curso y una lista de todas las cuentas telefónicas registradas en el dispositivo.
• android.permission.READ_SMS: permite que una aplicación lea mensajes SMS.
• android.permission.RECEIVE_SMS: permite que una aplicación reciba mensajes SMS.
• android.permission.RECORD_AUDIO: permite que una aplicación grabe audio.
• android.permission.SEND_SMS: permite que una aplicación envíe mensajes SMS.

Tras instalar la APP en un dispositivo Android, se observa que únicamente realiza conexiones a la dirección IPv4 149.154.167.99 bajo el protocolo HTTPS.

Podemos ver también que la dirección IP anterior corresponde con uno de los servidores de Telegram encargados de la gestión de bots para comunicarse por este medio.

Tras descompilar y analizar el código de la APP maliciosa, vemos que usa técnicas de ofuscación para intentar evadir la detección por los motores antimalware existentes o por los mecanismos de protección presentes en los dispositivos móviles actuales. La APP utiliza SQLite para almacenar de manera local la información sensible que obtiene del dispositivo de la víctima donde se instala y, presumiblemente, por cada víctima, mandar un aviso a un bot de Telegram.

Además, es muy probable que toda la información que vaya recabando la APP maliciosa de cada una de sus víctimas, como por ejemplo mensajes de audio, búsquedas realizadas con el navegador en busca de parámetros o cookies de sesión, información obtenida a través de la webcam, etc., sea almacenada de manera local en una base SQLite para un posterior volcado en un servidor centralizado controlado por el cibercriminal.

Con estos claros indicios, se puede ya comprobar que muchos motores antimalware identifican a la APP como maliciosa, concretamente detectando el famoso troyano Cerberus, que permite control total del sistema. Los atacantes han disfrazado el troyano una vez más con una temática llamativa y relevante para el momento, intentando maximizar las descargas.

Conclusión

Como en tantas otras ocasiones y aprovechando la repercusión y la incertidumbre generada por la pandemia de la COVID-19, muchas aplicaciones maliciosas están usando técnicas de ingeniería social para, a través de troyanos tradicionales, controlar dispositivos. Sólo nos queda recomendar encarecidamente descargar solamente aplicaciones desde fuentes oficiales para evitar problemas de seguridad y privacidad.