El turco tras los pr0nClickers, sube badware a Google Play por cuarta vezElevenPaths 27 julio, 2015 Durante la semana pasada el turco (probablemente una banda, o una sola persona) que está detrás del malware pr0nClickers consiguió eludir de nuevo las defensas de Google Play y subir de nuevo decenas de apps que visitan enlaces pornográficos entre bambalinas. Durante 2014, esta es la cuarta vez que, modificando ligeramente el código, el atacante consigue burlar las defensas de Google Play. Febrero, primera vez Todo comenzó en febrero. ElevenPaths detectó al menos 32 apps que usaban una viaja técnica en el mundo del Pc, pero no era tan usada entre el badware de Android. Entre las apps simuladas, podíamos encontrar un falso Talking Tom (que estuvo online apenas unas horas) y un «Cut the Rope». En este caso visitaban sitios porno y simulaban el clic en los banners para obtener algún beneficio. Este esquema afectaba también al plan de datos del usuario, puesto que las apps seguirían realizando peticiones a páginas en el «background» sin que la víctima fuese consciente. El atacante operaba desde diciembre, subiendo apps a google Play con la única intención de arrancarse con el sistema y realizar peticiones GET entre bambalinas. Esquema general de funcionamiento de las apps Hicimos en su día una investigación más profunda, y publicamos este artículo. El atacante usaba dominios con nombres supuestamente reales, de forma que era sencillo encontrar hasta su perfil de Facebook. Nombre del registrante, común a la mayoría de dominios registrados El primero dominio usado para los ataques todavía funciona como un «generador de dominios pornográficos». Desde el principio, mostró cierta preferencia por aplicaciones y dominios relacionados con las películas. Click F5… Apps relacionadas con el atacante, encontradas gracias a Tacyt Abril, la segunda vez Avast detectó que al atacante usando de nuevo Dubsmash 2 como app falsa para esparcir estos clickers. La forma en la que funcionaban las apps era muy similar, basándose en las mismas funciones JavaScript y partes de su código, además de direcciones turcas. Pero lo suficientemente diferentes como para burlar a los antivirus y a Google Play de nuevo. Mayo, la tercera vez Esta vez vue Lukas de ESET el que alertó sobre los turcos usando las mismas técnicas y reclamo (Dubsmash 2) para instalar clickers en los dispositivos de las víctimas. El atacante consiguió varios miles de instalaciones. Incluso utilizó los mismos servidores y dominios que en el ataque de febrero, desde donde los sistemas infectados tomaban la información. Un Dubsmash 2 falso usado en mayo Mismos dominios que la primera vez, visto desde Tacyt Julio, la cuarta ola Esta vez, Avast alertó de nuevo sobre el mismo grupo: Turcos, mismos dominios y apps relacionados con películas, mismo Dubsmash 2 como reclamo, mismo código en el JavaScript y en servidores. Pero de nuevo, lo suficientemente diferente para burlar a antivirus y Google Play. Nunca dejó de intentarlo durante junio, pero en julio fue más intenso. El atacante todavía utiliza la misma estructura en sus dominios. Algunos incluso parecen que han sido comprometidos (¿peliculasgratishd.net?). Estos son todos los dominios (no mostramos todas las rutas) relacionados con esta ola de ataques. Ahora son inofensivos, pero esto podría cambiar en cualquier momento, por lo que no se aconseja visitarlos. http://ynk.linuxum.com/ http://kankalar.linuxum.com/z/z5/ http://amas.europeanteenx.com/z/orap/ http://sulale.hitgit.com/com.sulale.dubb/1.png, http://tranquockarafren.peliculasgratishd.net/g/getasite/ http://kum.angelpinkgirls.com/z/z2/ http://cinar.pussyteenx.com/z/z5/ http://kamki.insfollows.com/com.nguyenngocjumraze.suuu/4.png http://phutanjocohare.mobilprn.net/g/getasite/, http://mebk.pantiescock.com/z/z2/, http://komidin.cumshotsex.net/com.komidin.cheatscrim/3.png http://rafta.girlstoyporn.com/z/orap/ http://sulale.hitgit.com/z/z2/ http://kendo.teenpornxx.com/z/orap/ http://fet.asianpornxx.com/z/z5/ http://pupa.romantictube.net/g/getasite/ http://palasandoreki.filmsme.net/z/z2/ Siguen usando el mismo nombre Turco para registrar la mayoría de los dominios. El código (dentro y fuera de las apps, en los servidores), además de usar otras características y fórmulas lo suficientemente parecidas como para atribuirlos a la misma persona. Domino usado en febrero (arriba) y otro usado en julio (abajo) Algunas apps todavía están disponible sen Google Play mientras escribimos estas líneas. Uno de los clickers simulan Temple Run 3, todavía online: https://play.google.com/store/apps/details?id=com.amas.ra Estas son algunas de las apps que hemos encontrado en los últimas días (usando Tacyt y algún clic) que comparten características. Con respecto al primer ataque, han tenido que renunciar a ciertas «comodidades» como por ejemplo, lanzarse cuando se enciende el teléfono. Esto limita el ataque al momento en el que la app se abre, por eso los atacantes intentan añadirles algo de contenido en esta última tanda. Amasra 1;com.amas.ra;f617515837ebe345a68904417d7823974e382e59 Best : Dubsmash;com.kankalar.elma;99cc2f0ff000df5c2e856d40acac1b4dc72e9230 Dubs Mash 2;com.sulale.dubb;459dc9198de2875017885d89e1c04c81301213b3 Panita Kin;com.tranquockarafren.king;f320e227b9742527be37a1c03afe4f2689bb76f0 Cheats for Boom Beach;com.kum.sal;36c4d4c0ca7c2d9e948daa32c20556709984fdba Cinarcik 1;com.cinar.cik;315c57bddee7a2ee5db54fb52215986bc23a9c93 belki yanbak;com.nguyenngocjumraze.suuu;9b0e6c03338db95a86217ea298ae9a50c85c8217 MayHada;com.phutanjocohare.may;9fe6f210fe5209c3d6d97800054e42d80d4e6966 MayHayda;com.phutanjocohare.jat;84af3da99603e9d5586a2278d180d485c74d4068 Cheats for Clash of Clans;com.kankalar.cheats;a0f000baa8246908bdce9feabc2f24530fd8afcb Man Kaptasi;com.phutanjocohare.conc;ed7ed72b9cf1de2cd67ce74d252be5aa7a2c0d35 Cheats for Pou;com.mebk.adli;9d3e6747cf892a7bc7571b1b91da1d14061ad4bb Cheats for Criminal Case;com.komidin.cheatscrim;df5be5567eb7dc2ef8d6f96909ff6dfc29b37d8d Cheats for Hill Climb;com.rafta.chetashill;8d4a009bae65731f10adc0b7fbfb708918579e74 Cheats & Trucos: Gta 5;com.sulale.chetastga;1741e985d4d204da73ee9f2a35622331fe7824c0 Maps & Guide: GTA 5;com.sulale.cimmi;ed388d4dd304c695aba5794d089355febaeb80d8 Followers for Instagram;com.nguyenngocjumraze.takip;5638df53b960a0d2b16f708bba8e46d4dc996f6d C l a s h o f C l a n s 2;com.kankalar.clash2;7552118b7e5f1ef3698579cc48121a6be37aa5f3 Komidin;com.kendo.yako;0695c87554db4a10a7b38df49ecf03f6e20eb4db Fethiye;com.fet.hiye;49c37da0ca94536600cecd8290aba670164ba7a6 Koday;com.pupa.yelken;2e2598c930a448217b6070d934e98735e4c44732 Doganın Güzellikleri 2;com.palasandoreki.hsa2;961923bad0f1a986a142ef5916d57b053e6591ba Doganin Guzellikleri;com.palasandoreki.hsa;193e986d65249a8a04d596b9c13ecfdf0e3dced9 Doganin güzellikleri 3;com.palasandoreki.hsa3;6dad78b0bae7210fcc9335ee671f4514becdb214 Así que esta es la cuarta vez que los atacantes modifican las apps y consiguen subirlas a Google Play. Pero tenemos que ser conscientes de que una vez consiguen eludir a los antivirus mutando el código, este tipo de badware es complejo de detectar porque la forma en la que funciona la app «no es tan sospechoso» (al fin y al cabo, solo visita páginas) y el comportamiento puede ser fácilmente «ocultado» por ejemplo, esperando a ciertos eventos para visitar los sitios porno.. Sergio de los Santos ssantos@11paths.com @ssantosv Latch llega a México: protege tu cuenta Movistar con la app de LatchTop of the app charts. Shuabang: automated malware made in China
Martiniano Mallavibarrena Ciberseguridad en el cine: mito vs. realidad con 10 ejemplos Los múltiples aspectos de la ciberseguridad (ataques, investigaciones, defensa, empleados desleales, negligencia, etc.) llevan años siendo parte del argumento de infinidad de películas y series de TV. En la...
Daniel Pous Montardit Resiliencia, clave en sistemas Cloud-Native En el primer post de la serie Cloud-Native, ¿Qué significa que mi software sea Cloud Native?, presentamos la resiliencia como uno de los atributos fundamentales que nos ayudan a...
Telefónica Tech Boletín semanal de Ciberseguridad, 21 – 27 de enero Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio...
Gonzalo Fernández Rodríguez ¿Qué significa que mi aplicación sea Cloud Native? El término Cloud Native es algo que va más allá de mover las aplicaciones alojadas en un data center a una infraestructura proporcionada por un proveedor Cloud, sea Cloud...
Telefónica Tech Boletín semanal de Ciberseguridad, 14 – 20 de enero Vulnerabilidades críticas en los router Netcomm y TP-Link Se han descubierto una serie de vulnerabilidades en los routers Netcomm y TP-Link. Por un lado, los fallos, identificados como CVE-2022-4873 y CVE-2022-4874, se tratan de un...
Jorge Rubio Álvarez Consecuencias de un ciberataque en entornos industriales Podemos encontrar entornos industriales en cualquier tipo de sector que nos podamos imaginar, ya sea en empresas de tratamiento de agua, transporte, farmacéuticas, fabricación de maquinaria, eléctricas, alimentación o...