viernes, 28 de julio de 2017

Lipizzan: el nuevo Malware espía detectado en Google Play

Hace unos días, Google anunciaba el descubrimiento de un nuevo malware para Android. Se trata de una aplicación maliciosa cuya misión es recopilar todo tipo de información personal sobre la víctima para después transmitirla al atacante.


El malware implementa rutinas para capturar datos de las principales aplicaciones de mensajería: WhatsApp, Telegram, Messenger, Skype, GMail, etc.

Además, permite controlar de forma remota la cámara, el micrófono y acceder a los archivos del dispositivo y a su localización.

Aunque no se conoce con seguridad su procedencia, los investigadores de Android Security han encontrado en su código referencias a Equus Technologies, una empresa israelí especializada en el desarrollo de herramientas de vigilancia. De hecho, para la investigación sobre Lipizzan se han utilizado las mismas técnicas que en el estudio de otras infecciones recientes como Chrysaor, desarrollada por NSO Group.

Logo de NSO Group


Cómo infecta Lipizzan

El virus se camufla como una aplicación legítima para realizar backups o para limpiar el sistema, poniendose a disposición del público en distintos markets y repositorios (incluído Google Play). La infección tiene lugar en dos etapas:
  1. Una primera etapa, en la que la víctima descarga e instala la aplicación.
  2. Una segunda, etapa en la que tras comprobar que el dispositivo es vulnerable, descarga las instrucciones necesarias para rootear el dispositivo y controlarlo.

Muestra de la segunda componente:

Media Server [Koodous]

Las últimas variantes del virus cambian el nombre de paquete, y ahora transmiten el exploit de la segunda fase de forma cifrada, lo que dificulta la detección. Además dispone de mecanismos de detección de máquinas virtuales para ocultar su verdadero comportamiento ante los ojos del analista inexperto.

A continuación uno de los ficheros de configuración que recopila alguna información interesante sobre el malware:


Extensiones de los archivos objetivo

"extensions": ["3dm", "3ds", "3fr", "3g2", "3gp", "3gpp", "3pr", "7z",
"ab4", "accdb", "accde", "accdr", "accdt", "ach", "acr", "act", "adb",
"ads", "agdl", "ai", "ait", "al", "apj", "arw", "asf", "asm", "asp", "asx",
"avi", "awg", "back", "backup", "backupdb", "bak", "bank", "bay", "bdb",
"bgt", "bik", "bkp", "blend", "bpw", "c", "cdf", "cdr", "cdr3", "cdr4",
"cdr5", "cdr6", "cdrw", "cdx", "ce1", "ce2", "cer", "cfp", "cgm", "cib",
"class", "cls", "cmt", "cpi", "cpp", "cr2", "craw", "crt", "crw", "crypt5",
"crypt6", "crypt7", "crypt8", "cs", "csh", "csl", "csv", "dac", "db", "db-journal",
"db3", "dbf", "dc2", "dcr", "dcs", "ddd", "ddoc", "ddrw", "dds", "der", "des",
"design", "dgc", "djvu", "dng", "doc", "docm", "docx", "dot", "dotm", "dotx", "drf", "drw", "dtd", "dwg", "dxb", "dxf", "dxg", "eml", "eps", "erbsql", "erf", "exf", "fdb", "ffd", "fff", "fh", "fhd", "fla", "flac", "flv", "fpx", "fxg", "gray", "grey", "gry", "h", "hbk", "hpp", "ibank", "ibd", "ibz", "idx", "iif", "iiq", "incpas", "indd", "java", "jpe", "kc2", "kdbx", "kdc", "key", "kpdx", "lua", "m", "m4v", "max", "mdb", "mdc", "mdf", "mef", "mfw", "mmw", "moneywell", "mos", "mov", "mp3", "mp4", "mpg", "mrw", "mrw", "msg", "myd", "nd", "ndd", "nef", "nk2", "nop", "nrw", "ns2", "ns3", "ns4", "nsd", "nsf", "nsg", "nsh", "nwb", "nx2", "nx1", "nyf", "oab", "obj", "odb", "odc", "odf", "odg", "odm", "odp", "ods", "odt", "oil", "orf", "ost", "otg", "oth", "otp", "ots", "ott", "p12", "p7b", "p7c", "pab", "pages", "pas", "pat", "pcd", "pct", "pdb", "pdd", "pdf", "pef", "pem", "pfx", "php", "pl", "plc", "pot", "potm", "potx", "ppam", "pps", "ppsm", "ppsx", "ppt", "pptm", "pptx", "prf", "ps", "psafe3", "psd", "pspimage", "pst", "ptx", "py", "qba", "qbb", "qbm", "qbr", "qbw", "qbx", "qby", "r3d", "raf", "rar", "rat", "raw", "rdb", "rm", "rtf", "rw2", "rw1", "rwz", "s3db", "sas7bdat", "say", "sd0", "sda", "sdf", "sldm", "sldx", "sql", "sqlite", "sqlite3", "sqlitedb", "sr2", "srf", "srt", "srw", "st4", "st5", "st6", "st7", "st8", "stc", "std", "sti", "stw", "stx", "svg", "swf", "sxc", "sxd", "sxg", "sxi", "sxm", "sxw", "tex", "tga", "thm", "tlg", "txt", "vob", "wallet", "wav", "wb2", "wmv", "wpd", "wps", "x11", "x3f", "xis", "xla", "xlam", "xlk", "xlm", "xlr", "xls", "xlsb", "xlsm", "xlsx", "xlt", "xltm", "xltx", "xlw", "ycbcra", "yuv", "zip"],

Lista negra de aplicaciones

"blacklist_apps": ["org.antivirus", "com.antivirus", "com.avast.android.mobilesecurity", "com.cleanmaster.security", "com.avira.android", "com.trustgo.mobile.security", "com.kms.free", "com.kaspersky.kes", "com.kaspersky.lightscanner", "com.cleanmaster.mguard", "com.lookout.enterprise", "com.wsandroid.suite", "com.eset.ems2.gp", "com.symantec.enterprise.mobile.security", "com.qihoo.security",
"org.malwarebytes.antimalware", "com.trendmicro.tmmssuite.mdm", "com.trendmicro.virdroid", "com.bitdefender.antivirus", "com.zimperium.zips", "com.psafe.msuite", "com.sophos.smsec", "com.drweb", "com.drweb.mcc", "com.bullguard.mobile.mobilesecurity", "com.bullguard.mobilebackup", "net.nshc.droidx3", "net.nshc.droidx3web", "com.sophos.appprotectionmonitor", "com.sophos.smsec", "com.sophos.mobilecontrol.client.android", "com.sophos.smenc", "com.comodo.cisme.antivirus", "com.quickheal.platform", "com.mobandme.security.virusguard", "de.gdata.mobilesecurity", "de.gdata.securechat", "com.webroot.security.sme", "com.webroot.secureweb", "com.ahnlab.v3mobileplus", "com.antiy.avlpro", "com.antiy.avl"],


Servidor de contacto

"api_url": "https://vps.equus-tech.com:44001",

Algunas muestras de Lipizzan

Primeras versiones de Lipizzan
Versiones actualizadas de Lipizzan
Las aplicaciones ya se encuentran fuera de Google Play y los pocos usuarios infectados (unos 100) ya han sido debidamente notificados.

Como siempre y como recomendación: sentido común y desconfiar de aplicaciones poco conocidas.

Más información:

Información oficial de los desarrolladores de Google

Repositorio con muestras de Lipizzan