martes, 1 de agosto de 2017

LeakerLocker, el malware para Android que amenaza con chivarse a tus contactos

Nacido a principios de 2016 y repuntando en los últimos días, LeakerLocker amenaza con mandar tu información personal (fotos, números, mensajes...) a todos tus contactos si no pagas un rescate. En su última campaña se ha hecho pasar por aplicaciones legítimas en Google Play.

La pantalla del resc

Bajo los nombres Wallpapers Blur HD, Booster & Cleaner Pro, y Calls Recorder, se encontraba en Google Play hasta hace poco este peculiar malware. Entre otros, amenaza con enviar a todos tus contactos tus fotos, números de teléfono, mensajes de Facebook, correos electrónicos... Si no pagas una modesta cantidad. O al menos eso es lo que dice, porque no se ha encontrado esta supuesta funcionalidad en el código de la aplicación. Aunque tampoco se puede descartar, ya que este troyano contempla la ejecución de código arbitrario descargado de los servidores del atacante.

La línea temporal de este malware no es especialmente compleja. Primero, infecta al usuario haciéndose pasar por una aplicación legítima en Google Play. Segundo, recopila la información personal e información sobre el uso del dispositivo. Finalmente, y tras varias comprobaciones que comentamos a continuación, descarga código adicional de servidores del atacante y lo ejecuta. En este código se pueden observar funciones relacionadas con la apertura, gestión e intercepción de datos de WebViews (vistas web genéricas), funcionalidades usadas entre otras cosas para suplantar la identidad de aplicaciones legítimas y capturar sus credenciales. Pero aparte de bloquear el móvil con la imagen que se muestra arriba (y no permitir su uso hasta el pago) no realiza más actividades maliciosas.

Una de las funcionalidades más interesantes de este malware es la lista de comprobaciones que realiza para permitir su propia ejecución. A priori, uno puede pensar que, una vez infectados, lo interesante es que se ejecute siempre. Pero pensándolo bien sería interesante que no se ejecutase en condiciones de laboratorio (cuando se analiza el malware) para evitar su detección intencionada por expertos. Entre otras, realiza las siguientes comprobaciones:

  • Hay más de 10 contactos y más de 10 fotos
  • Constan 3 o más registros de llamadas
  • La aplicación se ha descargado a través de Google Play

Adicionalmente, la parte principal del malware no se ejecuta hasta pasados 15 minutos desde la infección, lo que es una contramedida contra técnicas de análisis automático.

Una de las aplicaciones por las que se hace pasar este malware


Para evitar infectarse con este tipo de malware, ya en Google Play, aquí van unos cuantos consejos aplicables por el usuario de a pie:

  • No instalar aplicaciones que usen la imagen o suplanten la identidad de aplicaciones oficiales (Una aplicación con el icono de WhatsApp)
  • Comprobar que los permisos que pide la aplicación para instalarse tienen sentido (una aplicación de una linterna que pide permiso para usar el micrófono, sospechoso...)
  • Comprobar los comentarios negativos, a veces avisar que es malware o incluso que la aplicación no funciona (hay mucho malware muy mal programado...)
  • No instalar aplicaciones que prometen funcionalidad maligna (hacer trampas en un juego o "hackear" WhatsApp, si es que te mereces la infección...)

Más información sobre este malware y su comportamiento se puede encontrar buscando en Koodous las muestras con los siguientes hashes:

cb0a777e79bcef4990159e1b6577649e1fca632bfca82cb619eea0e4d7257e7b
486f80edfb1dea13cde87827b14491e93c189c26830b5350e31b07c787b29387
299b3a90f96b3fc1a4e3eb29be44cb325bd6750228a9342773ce973849507d12
c9330f3f70e143418dbdf172f6c2473564707c5a34a5693951d2c5fc73838459
d82330e1d84c2f866a0ff21093cb9669aaef2b07bf430541ab6182f98f6fdf82
48e44bf56ce9c91d38d39978fd05b0cb0d31f4bdfe90376915f2d0ce1de59658
14ccc15b40213a0680fc8c3a12fca4830f7930eeda95c40d1ae6098f9ac05146
4701a359647442d9b2d589cbba9ac7cf56949539410dbb4194d9980ec0d6b5d4