El
caso Asha y su campaña de casi un año (cuando la codicia puede con la
honestidad)
Vamos a explicar un caso
que afecto a casi 8 millones de usuarios en todo el mundo, ver como es de
peligroso descargarse aplicaciones sin ton ni son, cuando habitualmente en un
móvil están las aplicaciones que en un 90% de las veces cubren las necesidades
de un usuario normal incluidos quienes usan para su trabajo diario.
En este caso se juntaron
la colaboración de ESET (empresa de antivirus como principal investigadora y
Google Play que puso los medios para evitar que desde su plataformas y Android
siguieran distribuyendo este adware, y además acabaremos “cazando” al creador
de dicho malware. Además de otras autoridades y autoridades académicas.
Se detecta una gran
campaña de adware que se ejecutó durante casi un año y que afecto a cerca de 10
millones de teléfonos, de forma distribuida directa y posiblemente otros dos
millones de distribución indirecta. Desde Google Play se informó sobre 8
millones de descargas. (sitio oficial).
Se identificaron 42
aplicaciones con el mismo adware en Google Play y pertenecientes uña campaña
que se ejecutó desde julio 2018 y en el momento del descubrimiento del adware
21 aplicaciones todavía estaban activas y en descargas.
Se reportó esto a Google e
inmediatamente el equipo de seguridad de Google tomo cartas en el asunto
eliminando dichas aplicaciones de su repositorio, pero sin poder controlar los
repositorios de terceros y copias entre particulares.
ESET empresa de
antivirus, detecta este adware como Android/AdDisplay/Ashas.
De todas ellas la más
descargada y distribuida es Video downloadr master
Así era la manera en que Ashas
realizaba su función de adware:
Aclarar primero que todas
estas aplicaciones funcionaban de forma correcta a lo que indicaban en los móviles
y tables Android, y de forma secundaria y escondida realizaban el adware que
explicaremos a continuación.
Ashas y su adware interno
1. Una vez iniciada la aplicación comenzaba a
intentar comunicarse con su servidor C&C (cuya dirección IP estaba
codificada en base64 dentro de la aplicación, no legible para ojos profanos).
2. Una vez establecida la comunicación enviaba
los datos al servidor del creador de este adware con los datos siguientes:
a.
Tipo dispositivo
b. Versión
del sistema operativo
c.
Numero aplicaciones instaladas espacio de
almacenamiento y espacio libre
d. Si
el dispositivo estaba rooteado.
e.
Verifica si el modo desarrollador está
habilitado
f.
Si Facebook y FB Mesenger están
instalados.
3 Envió de información sobre dispositivo afectado
- La aplicación recibe del servidor de C&C los datos necesarios para:
- Mostrar anuncio interesados por el atacante
- Sigilo no ser detectado
- Resistencia a la desinstalación del programa una vez instalado, llegando a desinstalar solo parte gráfica i enlace link uso, pero no su parte interna que seguía en estado activo.
En cuanto a sigilo y a la
resistencia el atacante usa varios trucos y estrategias
Estrategias de sigilo y
ocultación:
- La aplicación maliciosa intenta determinar si está siendo examinada por la seguridad de Google Play, Para este fin recibe del servidor C&C, recordar que es un servidor malicioso) un certificado IsGooglep, que indica si la dirección IP del dispositivo afectado se encuentra en un rango de direcciones IP conocida por los proveedores de Google y devuelve este indicativo como positivo; si el servidor devuelve este indicativo como positivo, la aplicación no activara la carga del adware. Para aclarar si dice SI no activo el adware.
- La aplicación puede establecer un retraso personalizado entre anuncios, lo detectado es un retraso de 24 minutos desde que el teléfono se enciende y desbloquea para el primer anuncio, esto es para un proceso de prueba típico que lleva menos de 10 minutos, no detectara un comportamiento no deseado. Ademascuanto mas retraso y variado el usuario no detectara anuncios no deseados con aplicación particular.
- Según respuesta del servidor, la aplicación también puede ocultar su icono y crear un acceso directo. Si un usuario típico intenta deshacer sede la aplicación maliciosa, es probable que solo elimina el acceso directo. La aplicación se ejecuta en plano oculto sin conocimiento del usuario ya que no hay indicativo en el sistema de información de Android. “Esta técnica de ocultación es muy popular entre aplicaciones relacionada con adware distribuida para Android desde distintas plataformas, incluida GooglePlay.
- Una vez la aplicación maliciosa recibe sus datos de configuración (datos del usuario atacado), está lista para mostrar anuncios según elección del atacante, cada anuncio se muestra como una actividad de pantalla completa. Si un usuario desea verificar que aplicación es responsable del anuncio que se muestra, al presionar el botón “Aplicaciones recientes”, se utiliza otro “truco”, la aplicación muestra un icono de Facebook o Google, como se ve en la imagen siguiente, la aplicación imita estos dos iconos para parecer legítimo y evitar sospechas, y así permanecer en el anonimato y dispositivo del usuario el mayor tiempo posible.
Finalmente, la aplicación
de la familia Ashass tenía un código oculto bajo el epígrafe de paquete
com.google.xxx, este truco es para hacerse pasar por un servicio legítimo de
Google, puede ayudar a evitar escrutinio. Algunos mecanismos de detección y
entornos limitados pueden incluir en esta lista blanca dichos nombres de
paquetes en un esfuerzo de evitar recursos imagen página siguiente.
A la caza del creador de
este adware
Usando información de
código abierto, rastreamos al desarrollador del adware e identificamos como
operador de la campaña y propietario de C&C. En los siguientes párrafos
describiremos como los esfuerzos de expertos en seguridad como ESET y proteger
a los usuarios de este creador de adware.
La
base de información del dominio de C6C registrado, identificamos el nombre del
registrante, junto con otros datos como país de origen y dirección de correo
electrónico como se ve en la siguiente figura
- Sabiendo que la información proporcionada del registrado en el dominio puede ser falsa, continuaremos con nuestra búsqueda. La dirección de correo electrónico y del país nos lleva a una lista de estudiantes de vietnamitas de una clase universitaria, lo que lo corrobora la existencia de la persona bajo cuyo nombre se registró el dominio.
- Nombre del estudiante a que Universidad existe, su número de teléfono y otros datos que están fuera de esta investigación y no dependían de nosotros sino de la policía o autoridades competentes.
- Según
la dirección proporcionada por el creador del adware, (aun asumiendo es nombre
falso) se encontró un repositorio en GitHub, su repositorio demuestra que es
desarrollador de Android, pero no contenía ningún adware Asha al escribir el
blog. Pero bajo una búsqueda en Google del nombre del paquete eliminados de
adware, se encontró un proyecto “TestDelete” que había estado disponible en su
repositorio borrado. Esto demuestra el intento de borrar huellas informáticas.
- El
desarrollador malicioso también se detecta en esta investigación de sus hazañas
que coloco otras aplicaciones en App Store de Apple algunas con varias
versiones de iOS algunas eliminadas de Google Play pero sin adwareAShas.
- Siguiendo
las actividades del desarrollador malicioso se encuentra un canal en YouTube
propagando el adware Ashas y “sus otros proyectos”. En cuanto a la familia
Ashas uno de sus videos promocionales Android e IOS fue visto casi 3 millones
de veces.
- Su
canal de YouTube fue proporcionando ya una gran información de la persona real
detrás de todo este adware incluso aparece su imagen en uno de sus videos
promocionales y su perfil oficial de Facebook.
- Vinculados
a su perfil de Facebook del desarrollador malicioso descubren una página de
Facebook, MinigamesHouse, y un dominio asociado.Net Este dominio asociado es
similar al que uso el autor del malware para su comunicación de adwareC&C,
Minigameshouse[.]us
- La comprobación de la página MinigamesHouse indica además que esta persona es realmente propietaria del dominio minigameshouse[].Us el número de teléfono registrado en el domino es el mismo de su página de Facebook.
- Es
interesante que en la página de Facebook de MinigameHouse, el desarrollador
publicita muchos juegos más allá de la familia AShas para descargar a pesar de
haber sido eliminados del repositorio oficial de Google Play y aun sabiendo que
muchos de ellos no tienen adware.
- Además, uno de sus videos de YouTube el desarrollador malicioso realiza un tutorial sobre desarrollo de un “juego instantáneo” para Facebook, sirve como ejemplo de seguridad operativa completamente ignorada. Pudimos ver que sus sitios visitados recientemente eran páginas de Google Play que pertenecen a aplicaciones con Ashas. También uso su cuenta de correo electrónico para iniciar sesión en servicios de video que los identifica como creador del adware sin duda alguna, y gracias al video se pudo identificar otras tres aplicaciones con Ashas incluido que estaban disponibles en GooglePlay
Conclusiones
Debido a la
naturaleza del adware, este podía generar las siguientes acciones:
1. Molestar
al usuario con anuncios intrusivos, que no le interesan al usuario
2. Gasto
innecesario de recursos y batería
3. Generar
ganancias a creador a través de anuncios tele-dirigidos
4. Recopilar
datos del usuario, como datos filiales bancarios y otros.
5. Ocultar su presencia en
el dispositivo aun desinstalando la aplicación.
Usando solo código
abierto y técnicas de investigación aquí descritas (otras evidentemente no públicas)
se ha podido identificar de forma fehaciente al creador malicioso de adware y
además poner cota a sus actos y tomar medidas por parte de las distribuidoras
de software e aplicaciones
Debemos afrontar que el
creador al no tomar precauciones debidas a su identidad, creemos que al
principio fue honesto al intentar ganar dinero en Google Play con aplicaciones
honesta, esto se demuestra que no todas sus aplicaciones tenían Adware, pero la
codicia de querer ganar más le llevo por camino inadecuado.
Es de agradecer al
equipo de ESET y especialmente a Lucas Stefankos, además del equipo de
seguridad de Google Play en tomar las oportunas medidas