Nuevo malware distribuido a través de varias apps de Google Play

Se han descubierto ocho aplicaciones en Google Play que estaban propagando un nuevo malware denominado Autolycos.

Maxime Ingrao, un investigador de la firma de ciberseguridad Evina descubrió un malware de fraude telefónico o fleeceware, al que denominó Autolycos. Este tipo de malware se caracteriza por suscribir a los usuarios a servicios premium sin su conocimiento ni consentimiento y acceder a los mensajes SMS recibidos, de forma que el usuario no sea consciente de los cargos generados hasta que le llegue la siguiente factura telefónica.

Con el objetivo de difundir las aplicaciones móviles maliciosas, el investigador descubrió que los ciberdelincuentes habían creado campañas publicitarias. Se utilizaron páginas y anuncios en Facebook e Instagram, entre otras redes sociales. Por ejemplo, para una de las apps maliciosas (Razer Keyboard & Theme) se han descubierto 74 campañas publicitarias.

Tras un análisis detallado del nuevo malware, los investigadores de Malwarebytes han determinado que podría ser una nueva variante de Joker (Android/Trojan.Spy.Joker), un spyware descubierto en 2019 que también suscribía en secreto a personas a servicios premium y robaba mensajes SMS, entre otras actividades fraudulentas.

El comportamiento de Autolycos le permite eludir las detecciones de una manera más hábil que el Joker original. Joker utiliza vistas web para mostrar información (como una pantalla de bienvenida, el logotipo de la aplicación instalada, etc.) para despistar al usuario mientras se realizan los procesos maliciosos en segundo plano. Por su parte, Autolycos recupera un archivo JSON desde un servidor C2 y visita las URLs en un navegador remoto, devolviendo el resultado para incluirlo en las próximas solicitudes. De esta manera resulta menos perceptible y aumenta la complejidad de detectar que un dispositivo se encuentra comprometido.

Las ocho aplicaciones Android que distribuían Autolycos son las siguientes:

• Vlog Star Video Editor (1 millón de descargas)
• Creative 3D Launcher (1 millón de descargas)
• Funny Camera de KellyTech (500.000 descargas)
• Wow Beauty Camera (100.000 descargas)
• Teclado Gif Emoji (100.000 descargas)
• Razer Keyboard & Theme de rxcheldiolola (50.000 descargas)
• Freeglow Camera 1.0.0 (5.000 descargas)
• Coco Camera v1.1 (1.000 descargas)

Cabe destacar que entre todas las aplicaciones maliciosas que distribuían el nuevo malware, suman más de 3 millones de descargas.

En julio de 2021, Maxime Ingrao descubrió las aplicaciones maliciosas y las reportó a Google de manera privada. Sin embargo la compañía tardó seis meses en eliminar seis de estas aplicaciones de su market. Finalmente, Google eliminó las dos restantes el pasado 13 de julio, una vez que Ingrao hizo publicas sus investigaciones.

El investigador detalla que es necesario monitorizar tanto los datos de Internet que se consumen en segundo plano como el consumo de batería, tener activado Play Protect y minimizar la cantidad de apps instaladas para intentar evitar este tipo de amenazas.

Aunque de momento no se han proporcionado los hashes de las aplicaciones móviles, desde Hispasec se ha podido recopilar parte de esta información. Se recoge a continuación un listado de IOCs para Autolycos:

C2:

• 68.183.219.190/pER/y

Nombres de paquetes de las aplicaciones:

• com.vlog.star.video.editor
• app.launcher.creative3d
• com.wowbeauty.camera
• com.okcamera.funny
• com.gif.emoji.keyboard
• com.glow.camera.open
• com.toomore.cool.camera
• com.razer.keyboard

Hashes (md5):

• 5bd98bc6fed46d222c2e15257883da19
• 1e6dc2a3f2a3495568c4adef36543ead
• 7562e6451b670e19dd5f4d10893486e2
• 539f27c675cc56cc736a985ba1dead5a
• 2705aa58e3d2e47394bf051a5e2a5f95
• db2c2c78788399c2c8045860c280563a
• 87a7e792720c49f4e9cdd07720128150
• d2464e1fb709b82a2e8f2be9f465d4cd
• 764fedc891874b73296a0be3558bded2

Hashes (sha1):

• ff8ff1d3dc2e7ff6c3fe865f669acc8702349891
• 526325c7ef660bb909b6a5df25b468d3821d2d1d
• 877108ac0df42744cabdd4ed52dab573de27d011
• c3d84f818b845254f7221d31c52edf8511bf3598
• e2d8bcb5d81353f1188d191cb7faefa42713388a
• 6450a7cd5759a5355f375f83f162ae51a8d3c15b
• 8e4b0e0317b2b82d3f75d9109606af7de9a25223
• e38d90a28b34c7bc2723397a6b93147a74550b4f
• 6abd7be5dc54d105a3fa60cc4d25c0f831a17496

Hashes (sha256):

• 92bdee92d2ff1a3810479df63a886b7c4af3f4b16a0c1a4ee527ee1a1813650f
• c88ecb32633cf8ebb2933b5b24d8b6f1cd8b55685c01de171240b5cba746b0a4
• 9aa60d7d2a11aebe0681a9e7c35d622ebf28246fdbdf039e3b14980e32b96744
• 95547426cd892cc50547d65aef7edb82212c68a44257318cb89fbfcfa04889bb
• b50a126f1875d585b80687af18fec5839c24c6877476b33d6d92cc325dd82125
• b05c5029879fc021e5ef88a46f1947805b06f08120acc6bfdd91a951e2f7d694
• fb1744c8bafae2544bbe90eea70e4328dbc4a0a1b5d226877f741df01cac76ae
• 8c64a5f8c482952c2cbc3587c978d73896b79e82452d87e9c6b54108e0908bd4
• fc80f3c8d761c1e65e15b931f5bafbda4d393ababf0cba35664d82e0ca7a4a0f

Esta información puede ser contrastada con Koodous, el antivirus colaborativo para Android con el que se pueden verificar los hashes y realizar las búsquedas de las Apps para verificar su positivo en malware. Es una de las herramientas imprescindibles en la búsqueda y análisis de malware en Android.

Más información:
Maxime Ingrao
https://twitter.com/IngraoMaxime/status/1547164768401858560

New Android malware on Google Play installed 3 million times
https://www.bleepingcomputer.com/news/security/new-android-malware-on-google-play-installed-3-million-times/

Koodous
https://www.koodous.com