El turco tras los pr0nClickers, sube badware a Google Play por cuarta vez

Durante la semana pasada el turco (probablemente una banda, o una sola persona) que está detrás del malware pr0nClickers consiguió eludir de nuevo las defensas de Google Play y subir de nuevo decenas de apps que visitan enlaces pornográficos entre bambalinas. Durante 2014, esta es la cuarta vez que, modificando ligeramente el código, el atacante consigue burlar las defensas de Google Play.

Febrero, primera vez

Todo comenzó en febrero. ElevenPaths detectó al menos 32 apps que usaban una viaja técnica en el mundo del Pc, pero no era tan usada entre el badware de Android. Entre las apps simuladas, podíamos encontrar un falso Talking Tom (que estuvo online apenas unas horas) y un “Cut the Rope”. En este caso visitaban sitios porno y simulaban el clic en los banners para obtener algún beneficio. Este esquema afectaba también al plan de datos del usuario, puesto que las apps seguirían realizando peticiones a páginas en el “background” sin que la víctima fuese consciente. El atacante operaba desde diciembre, subiendo apps a google Play con la única intención de arrancarse con el sistema y realizar peticiones GET entre bambalinas.

Esquema general de funcionamiento de las apps

Hicimos en su día una investigación más profunda, y publicamos este artículo. El atacante usaba dominios con nombres supuestamente reales, de forma que era sencillo encontrar hasta su perfil de Facebook.

Nombre del registrante, común a la mayoría de dominios registrados

El primero dominio usado para los ataques todavía funciona como un “generador de dominios pornográficos”. Desde el principio, mostró cierta preferencia por aplicaciones y dominios relacionados con las películas.

Click F5…

Apps relacionadas con el atacante, encontradas gracias a  Tacyt

Abril, la segunda vez

Avast detectó que al atacante usando de nuevo Dubsmash 2 como app falsa para esparcir estos clickers. La forma en la que funcionaban las apps era muy similar, basándose en las mismas funciones JavaScript y partes de su código, además de direcciones turcas. Pero lo suficientemente diferentes como para burlar a los antivirus y a Google Play de nuevo.

Mayo, la tercera vez

Esta vez vue Lukas de ESET el que alertó sobre los turcos usando las mismas técnicas y reclamo (Dubsmash 2) para instalar clickers en los dispositivos de las víctimas. El atacante consiguió varios miles de instalaciones. Incluso utilizó los mismos servidores y dominios que en el ataque de febrero, desde donde los sistemas infectados tomaban la información.

Un Dubsmash 2 falso usado en mayo

Mismos dominios que la primera vez, visto desde Tacyt

Esta vez, Avast alertó de nuevo sobre el mismo grupo: Turcos, mismos dominios y apps relacionados con películas, mismo Dubsmash 2 como reclamo, mismo código en el JavaScript y en servidores. Pero de nuevo, lo suficientemente diferente para burlar a antivirus y Google Play. Nunca dejó de intentarlo durante junio, pero en julio fue más intenso.

El atacante todavía utiliza la misma estructura en sus dominios. Algunos incluso parecen que han sido comprometidos  (¿peliculasgratishd.net?). Estos son todos los dominios  (no mostramos todas las rutas) relacionados con esta ola de ataques. Ahora son inofensivos, pero esto podría cambiar en cualquier momento, por lo que no se aconseja visitarlos.

• http://ynk.linuxum.com/
• http://kankalar.linuxum.com/z/z5/
• http://amas.europeanteenx.com/z/orap/
• http://sulale.hitgit.com/com.sulale.dubb/1.png, 
• http://tranquockarafren.peliculasgratishd.net/g/getasite/
• http://kum.angelpinkgirls.com/z/z2/
• http://cinar.pussyteenx.com/z/z5/
• http://kamki.insfollows.com/com.nguyenngocjumraze.suuu/4.png
• http://phutanjocohare.mobilprn.net/g/getasite/, 
• http://mebk.pantiescock.com/z/z2/, 
• http://komidin.cumshotsex.net/com.komidin.cheatscrim/3.png
• http://rafta.girlstoyporn.com/z/orap/
• http://sulale.hitgit.com/z/z2/
• http://kendo.teenpornxx.com/z/orap/
• http://fet.asianpornxx.com/z/z5/
• http://pupa.romantictube.net/g/getasite/ 
• http://palasandoreki.filmsme.net/z/z2/

Siguen usando el mismo nombre Turco para registrar la mayoría de los dominios. El código (dentro y fuera de las apps, en los servidores), además de usar otras características y fórmulas lo suficientemente parecidas como para atribuirlos a la misma persona.

Domino usado en febrero (arriba) y otro usado en julio (abajo)

Algunas apps todavía están disponible sen Google Play mientras escribimos estas líneas.

Uno de los clickers simulan Temple Run 3, todavía online: https://play.google.com/store/apps/details?id=com.amas.ra

Estas son algunas de las apps que hemos encontrado en los últimas días (usando Tacyt y algún clic) que comparten características. Con respecto al primer ataque, han tenido que renunciar a ciertas “comodidades” como por ejemplo, lanzarse cuando se enciende el teléfono. Esto limita el ataque al momento en el que la app se abre, por eso los atacantes intentan añadirles algo de contenido en esta última tanda.

• Amasra 1;com.amas.ra;f617515837ebe345a68904417d7823974e382e59
• Best : Dubsmash;com.kankalar.elma;99cc2f0ff000df5c2e856d40acac1b4dc72e9230
• Dubs Mash 2;com.sulale.dubb;459dc9198de2875017885d89e1c04c81301213b3
• Panita Kin;com.tranquockarafren.king;f320e227b9742527be37a1c03afe4f2689bb76f0
• Cheats for Boom Beach;com.kum.sal;36c4d4c0ca7c2d9e948daa32c20556709984fdba
• Cinarcik 1;com.cinar.cik;315c57bddee7a2ee5db54fb52215986bc23a9c93
• belki yanbak;com.nguyenngocjumraze.suuu;9b0e6c03338db95a86217ea298ae9a50c85c8217
• MayHada;com.phutanjocohare.may;9fe6f210fe5209c3d6d97800054e42d80d4e6966
• MayHayda;com.phutanjocohare.jat;84af3da99603e9d5586a2278d180d485c74d4068
• Cheats for Clash of Clans;com.kankalar.cheats;a0f000baa8246908bdce9feabc2f24530fd8afcb
• Man Kaptasi;com.phutanjocohare.conc;ed7ed72b9cf1de2cd67ce74d252be5aa7a2c0d35
• Cheats for Pou;com.mebk.adli;9d3e6747cf892a7bc7571b1b91da1d14061ad4bb
• Cheats for Criminal Case;com.komidin.cheatscrim;df5be5567eb7dc2ef8d6f96909ff6dfc29b37d8d
• Cheats for Hill Climb;com.rafta.chetashill;8d4a009bae65731f10adc0b7fbfb708918579e74
• Cheats & Trucos: Gta 5;com.sulale.chetastga;1741e985d4d204da73ee9f2a35622331fe7824c0
• Maps & Guide: GTA 5;com.sulale.cimmi;ed388d4dd304c695aba5794d089355febaeb80d8
• Followers for Instagram;com.nguyenngocjumraze.takip;5638df53b960a0d2b16f708bba8e46d4dc996f6d
• C l a s h o f C l a n s 2;com.kankalar.clash2;7552118b7e5f1ef3698579cc48121a6be37aa5f3
• Komidin;com.kendo.yako;0695c87554db4a10a7b38df49ecf03f6e20eb4db
• Fethiye;com.fet.hiye;49c37da0ca94536600cecd8290aba670164ba7a6
• Koday;com.pupa.yelken;2e2598c930a448217b6070d934e98735e4c44732
• Doganın Güzellikleri 2;com.palasandoreki.hsa2;961923bad0f1a986a142ef5916d57b053e6591ba
• Doganin Guzellikleri;com.palasandoreki.hsa;193e986d65249a8a04d596b9c13ecfdf0e3dced9
• Doganin güzellikleri 3;com.palasandoreki.hsa3;6dad78b0bae7210fcc9335ee671f4514becdb214

Así que esta es la cuarta vez que los atacantes modifican las apps y consiguen subirlas a Google Play. Pero tenemos que ser conscientes de que una vez consiguen eludir a los antivirus mutando el código, este tipo de badware es complejo de detectar porque la forma en la que funciona la app “no es tan sospechoso” (al fin y al cabo, solo visita páginas) y el comportamiento puede ser fácilmente “ocultado” por ejemplo, esperando a ciertos eventos para visitar los sitios porno..