El troyano preinstalado en tablets baratas de Amazon también está en Google Play

Investigadores de Cheetah Mobile han encontrado troyanos preinstaldos en algunas tablets baratas de Amazon, muy difíciles de eliminar. Aquí, en ElevenPaths, hemos encontrado una versión de este troyano presente ahora mismo en Google Play y escondida bajo una aplicación de juegos HTML5. Este malware ha sido bautizado como «Cloudsota«.

La app, todavía en Google Play, realizada por la misma banda que «Cloudsota»

 
El troyano encontrado por Cheetah Mobile, se encuentra preinstalado en las tablets, es capaz de instalarse de nuevo después de un reinicio si se ha borrado, secuestra la página de inicio del navegador y descarga apps de servidores para instalarlas silenciosamente si el dispositivo está rooteado (algo con bastante posibilidades en las tabletas donde viene preinstalado)  Hemos encontrado un comportamiento muy similar en una app de Google Play, que descarga otros APK desde los mismos servidores, y cuyo código se asemeja bastante. De lo que estamos seguros, por varios indicios, es que está creado por la misma banda que Cloudsota, aunque quizás con más «cuidado» para poder entrar en el market oficial.

Cómo funciona

Una vez analizamos las apps encontradas por Cheetah, gracias a Tacyt, encontramos una fuerte correlación con solo una de las 4.6 millones de aplicaciones que tenemos en la base de datos. Esta app ha estado en Google Play desde agosto de 2015.
Cuando se inicia o detecta la presencia de un usuario (desbloquea la pantalla), llama a un método «b» dentro de la clase com.android.ThreeTyCon.c que visita el sitio hxxp://union.dengandroid.com/getconfig y envía información interesante.

JSon enviado al servidor antes de ser codificado

Después de enviar esta información personal codificada (email, MAC, si el dispositivo está rooteado o no, etc) finalmente descarga (también codifica la petición HTTP) un fichero DEX llamado business.dex. Suponemos que este fichero puede ser diferente dependiendo de la información enviada previamente.

El código para descargar y usar business.dex

Este business.dex se encuentra bastante ofuscado, y contiene buena parte del código y la lógica maliciosa. Business.dex está también programado para descargar diferentes versiones de business_X.dex (la X depende de la configuración del dispositivo) que suponemos que hace al comportamiento global bastante impredecible.

Si la utilidad busybox se encuentra en el dispositivo, intenta cargar librerías, instalar y desinstalar apps… Esto se hace justo antes de que business.dex sea descargado, suponemos que para desinstalar un potencial antivirus que el usuario pudiera mantener instalado y eliminarlo antes de descargare el (todavía más) código malicioso que podría ser detectado con mayor probabilidad.

Intentando desinstalar código

Hasta donde sabemos, la aplicación por sí misma o business.dex no contiene código para instalarse de nuevo si se borra, o secuestrar la página de inicio, pero parece que podría, puesto que vemos varias referencias en el código.

It may hijacks the homepage

  
Además, comparte con las muestras obtenidas por Cheetah, el uso de una librería muy particular llamada libshellcmd.so.
 

Utiliza libshellcmd.so, librería compartida con Cloudsota

La app en Google Play (com.cz.gamenavigation) es ya detectada por varios antivirus. Pero muchos no la detectan por este comportamiento, sino porque contiene código perteneciente al uso del SDK Airpush. Airpush se considera potencialmente adware dañino desde hace mucho por los antivirus. Resulta interesante también que la app ha sido descargada entre 5.000 y 10.000 veces, pero solo se le ha dado tres votos.

Demasiadas descargas para tan pocos votos…

Esto nos hace pensar en alguna especie de «tirón artificial» con descargas no reales y llevadas a cabo de forma automática por el mismo equipo que ha desarrollado la aplicación, consiguiendo así mejorar su posición de búsqueda en el market.