Dvmap Comienza una nueva era en malware para Android

Instalar una aplicación proveniente de playstore no es sinónimo de seguridad. Un nuevo malware ha sido descubierto para Android el cual tiene la capacidad de terminar con el acceso de tipo root luego de haber conseguido los privilegios.
 Los hackers han sido capaces de burlar los controles de Google para evitar que aplicaciones dudosas se cuelen y terminen siendo ofertadas en su tienda.

Esta seguridad consta de dos tiempos, una realizada de manera automatizada por una aplicación que verifica el comportamiento de la aplicación y otra que es realizada por un técnico real al cual se le designa la aplicación en caso de resultar sospechosa.

Ninguna de las dos instancias fue suficiente para detectar la intención detrás de esta aplicación con apariencia inocente que terminó por infectar ya cerca de 50,000 smartphones en todo el mundo, considerando el número de descargas con que cuenta la aplicación, la cual aunque fue reportada a Google por Kaspersky Lab pero aún no es retirada.

Resalta como dato interesante que esta sea la primera vez que un malware para Android, utilice una variedad distinta de técnicas, como el inyectar código malicioso dentro de las librerías del sistema como libdmv.so o libandroid_runtime.so con lo que se inaugura una nueva tendencia en malware para este sistema operativo de teléfonos.

ESPECIFICACIONES GENERALES

Nombre: Dvmap

Clasificación: Troyano

Método de distribución: Descarga de aplicación Colourblock desde la PlayStore.

Sistemas afectados: AndroidOS, Smartphones tanto de 32 bits como de 64 bits.

 

DÓNDE ESTÁ EL TRUCO

No es la primera ocasión en que un malware termina siendo descargado desde la PlayStore Por ejemplo el troyano ztorg ha sido dado de alta casi 100 veces desde Septiembre del 2016.

El método por medio del cual los criminales detrás del ataque consiguieron introducir su programa infectado en la tienda de PlayStore fue bastante sencillo pero bien planeado.

Desde Marzo de 2017 dieron de alta una aplicación que realmente inofensiva, un simple juego sin mucho desarrollo detrás, pero una vez que consiguieron que estuviera en línea, pasaron a realizar una actualización, la cual ya no tuvo que pasar por las reglas de seguridad iniciales y fue automáticamente clasificada como segura, sin sospechar que esta nueva versión ya incluía código malicioso. Para evitar sospechas, la aplicación era cambiada constantemente incluso en el mismo día. Esto vinieron haciéndolo al menos 5 veces entre el 18 de abril y el 15 de Mayo.

 

PROCESO DE INFECCIÓN

El proceso de instalación del malware tiene dos objetivos principales lo que define dos fases:

1.- Conseguir los derechos de root del dispositivo.

2.- Identificar la versión del dispositivo y elegir la biblioteca en donde se inyectará el código malicioso.

FASE INICIAL

Cuatro archivos proporcionados en el paquete original de instalación se encuentran relacionados con esta fase de la infección generados con un ejecutable “start”.

Game321.res

Game322.res

Game323.res

Game642.res

El objetivo del troyano en esta fase es hacerse de los derechos de root en el dispositivo e instalar algunos módulos más.

Se localizó un exploit  root local, pero además se utilizan 4 paquetes de exploit diferentes dependiendo de la versión de sistema operativo en el que se está tratando de instalar. 3 archivos de paquete son destinados a sistemas de 32 bits, mientras que uno más es dedicado a los de 64 bits. Obsérvese el nombre en los archivos.

Si consigue que estos archivos tengan derechos tipo root, el malware instalará otras herramientas en el sistema así como la aplicación maliciosa “com.qualcmm.timeservices”. De la cual aún no se sabe la finalidad, los expertos creen ya que aunque el dispositivo pudo conectarse exitosamente al C&C no recibió ningún comando, por lo que podría utilizarse posteriormente para anuncios o simplemente ejecutar otros códigos maliciosos.

Se muestra a continuación el código del “.root.sh” que curiosamente tiene una cabecera de comentarios en caracteres chinos.

APK_NAME=app-release.apk

suapk_path=$MY_FILES_DIR/$APK_NAME

if [ ! -f “$SUAPK_PATH” ]; then

              SUAPK_PATH?$MY_FILES_DIR/$APK_NAME

fi

if [ ! -z “$4” ]; then

              SUAPK_PATH=$MY_FILES_DIR/$APK_NAME

              if [ ! -f”SUAPK_PATH” ]; then

                            SUAPK_PATH=$4/APK_NAME

              fi

fi

echo “SUAPK_PATH: $SUAPK_PATH”

 

MAIN

Los archivos relacionados con la fase principal son:

Game324.res

Game644.res

En la fase principal el malware tendrá que realizar algunas acciones relacionadas con la versión del sistema, Si este es de 32 bits, ejecutará el archivo “start” contenido en Game324.res, o en caso contrario, será el “Start” de Game644.res el que tomará la ejecución.

Hace una copia de seguridad de las librerías que parcheará dejándolas en le biblioteca original con el nombre bak_”nombre original”.

Posteriormente realizará el parcheo de librerías.

En el caso de que la versión de android sea la 4.4.4 o previa, se aplicará el parche:

_Z30dvmHeapSourceStartupBeforeForkv

Para Android 5 o más recientes, el método de patch que aplicará será:

nativeForkAndSpecialize de libandroid_runtime.so

Estas bibliotecas funcionan en tiempo de ejecución, lo que es algo nuevo en malware diseñado para Android.

El parcheado puede resultar bastante dañino porque puede terminar bloqueando algunos dispositivos luego de la haber manipulado las librerías sobre-escribiéndoles código malicioso sobre el existente.

Luego el troyano volverá a colocar la librería con el código inyectado en el directorio del sistema. Y reemplazará el original / system /bin/ip por uno de sus códigos game324.res o Game644.res según sea el caso.

Una vez conseguido esto, ya tendrá derecho a ejecutarse con derechos del sistema. Ahora bien. La manipulación de estar librerías implica que todas las aplicaciones que la requieren pueden fallar o perder alguna funcionalidad por lo que el dispositivo puede tornarse inestable.

Para el caso de la librería ip, esto abre una puerta para descargar posteriores aplicaciones maliciosas, ya que desactiva la función “VerifyApps” y activa “Unknownsources” lo que le permite descargar e instalar aplicaciones desde cualquier fuente, no solo de PlayStore y debido a que el troyano ya posee los permisos totales del dispositivo, tendrá todo el permiso de instalarlas sin necesitar la interacción con el usuario.

 

DETECCIÓN Y ELIMINACIÓN

Debido a que la aplicación sobre-escribe librerías de sistema, eliminarlo en su totalidad resulta un proceso complicado debido a que regresar a las especificaciones de fábrica puede no ser muy útil. Una alternativa es restaurar por completo la partición del sistema cambiando el ROM.

INDICADORES DE COMPROMISO

FileHash-MD5

20d4b9eb9377c499917c4d69bf4ccebe

43680d1914f28e14c90436e1d42984e2

HOSTNAME 

d3g12gtvrnojba.cloudfront.net

 

CONCLUSIÓN

Se cree que este malware está aún en fase de prueba, sin embargo el haberlo detectado da esperanzas a los expertos de poder identificar con mayor facilidad este tipo de ataques en el futuro. Por lo que se espera que Google sea más selectivo o implemente mejores medidas de seguridad en función de ofrecer mayor garantía a sus usuarios.

Desafortunadamente para los nuevos desarrolladores de aplicaciones el inicio siempre es complicado, al no tener calificaciones que lo acrediten como seguros y ofrezcan una reputación, los usuarios se decidirán por los ya conocidos por estar clasificados como “de fiar”. Y con la duda de que pueda estar relacionada con malware, esto se dificulta aún mas.

Un punto que si cabe revisar siempre que se instale una aplicación sea del proveedor que sea, es analizar los accesos que solicita tener, si algún permiso solicitado no parece lógico, entonces convendrá mejor no instalarla.

Por todo caso, conviene mantener el dispositivo al día en actualizaciones.

 

Referencias:

Dvamp the first android malware with code injection

Share with your friends










Submit
Tags: