Ztorg análisis de un troyano en evolución que continúa afectando móviles

¿Quien no se ha encontrado con aplicaciones que lanzan anuncios para invitarnos a la vez a probar otras aplicaciones? Los anuncios redireccionados son una de las estrategias más eficaces utilizadas por malware para conseguir quedar instalado en nuestros dispositivos móviles.

Ztorg es uno de los códigos maliciosos desarrollados para dispositivo móvil que más infecciones ha conseguido, sus estrategias para conseguir filtrarse entre las aplicaciones que Google considera seguras ha sido efectiva y desde sus inicios, no ha parado de infectar usuarios y con una tasa bastante elevada.

Hace ya más de un año, bajo una supuesta guía para utilizar el famoso juego de Pokémon Go, este malware consiguió la infección de 500,000 dispositivos. Posteriormente llegaría otra modificación del malware bajo la aplicación Privacy Lock; esta fue lanzada a finales del 2016 y le ganaría a Ztorg un millón de infecciones según las cifras de descargas.

 

INGRESANDO A PLAY STORE

La estrategia utilizada por Ztorg para estar entre las aplicaciones descargadas consideradas “no maliciosas” es la siguiente:

Se coloca inicialmente una aplicación realmente válida, no incluye códigos maliciosos, ni comportamientos sospechosos, esto hace que pase la primera verificación.
Posteriormente, la aplicación es actualizada con una versión que contiene código malicioso.
En numerosas ocasiones, los desarrolladores, dan de baja la aplicación con malware para eventualmente dejar la versión válida. Con esto garantizan su permanencia en la App Store sin levantar sospechas hasta que alguien la reporta con evidencias como dañina.

Ahora bien, se plantea otra estrategia que apoya a la primera.

 

APLICACIONES POPULARES

Aquí entra la ingeniería social. Las aplicaciones que distribuyen Ztorg son populares y ganan descargas a razón de miles cada día. Como sucedió con el caso de la guía de Pokémon Go, un juego bastante conocido, era de imaginarse que ofrecer una guía para jugarlo resultara tentadora.

Otras de las aplicaciones comúnmente descargadas con malware son las que ofrecen monedas para poder comprar recompensas en juegos conocidos.

En otras estrategias, la aplicación original no se encuentra infectada, pero lanza ofertas en las que se incluye la invitación a descargar otras aplicaciones que pueden resultar interesantes y que son de paga pero están “temporalmente en oferta”, el malware se incluye en ellas eventualmente. De modo que el usuario termina instalando malware y pagando por él.

El rastreo de direcciones de origen para las aplicaciones maliciosas, resulta en ocasiones bastante enredado, ya que las aplicaciones reciben ofertas publicitarias sin malware, esas a su vez, direccionan a otras con aplicaciones malintencionadas.

Posteriormente se hacen continuos re-direccionamientos hacia otros dominios de anuncios, en los análisis, llegan a hacerse hasta 27 redirecciones y la aplicación pasa a la URL final detectada como maliciosa como puede ser el caso de:

app.adjust.com
track.iappzone.net

Las URL que se utilizan en las campañas maliciosas se pueden identificar por tener normalmente un aspecto como el siguiente:

https://app.adjust.com/4f1lza?redirect=https://play.google.com/store/apps/details?id=com.game.puzzle.green&install_callback=http://track.iappzone.net…

Este tipo de estructuras de URL contiene parámetros en los que se incluyen los id de la oferta, el afiliado que lanza la oferta, etc. Pero hay un dato en especial que llama la atención
Install_callback

Aquí en este parámetro, se incluye el nombre del servicio de anuncios.

En búsquedas se puede detectar que varios archivos APK contienen esta URL y todos los archivos están relacionados con Ztorg.

Como dato anexo, cabe mencionar que la IP de iappzone.net, curiosamente fue cambiada luego de haber sido relacionada como servidor comprometido y cambió a 139.162.57.41

 

EVOLUCIÓN DE LOS MÓDULOS MALICIOSOS

Una vez aclarado que Ztorg es un malware de instalación por medio de aplicaciones maliciosas podemos pasar a comprender su comportamiento y cambios a través del tiempo.

Uno de los módulos maliciosos asociados a la evolución de Ztorg es Dalvik, las aplicaciones que se detectaron por los expertos como infectadas por este módulo, lo protegían por medio de un paquete. Y para empaquetarlo se dice que se utilizó Qihoo. El código malicioso se ejecutaba luego de que el usuario Instalaba, actualizaba o eliminaba una aplicación. Según los eventos PACKAGE_ADDED Y PACKAGE_REMOVED.

El módulo tenía la capacidad de evadir análisis, verificando si se encuentra corriendo en una máquina virtual o un emulador o sandbox. Esto lo hacía verificando la existencia de archivos y valores en las propiedades del sistema.

Pasada esta etapa, que puede ir desde una hora a hora y media, entonces ejecutaba una solicitud GET HTTP al servidor de compromiso y recibía un archivo JSON encriptado el cual debe contener la URL desde donde debe descargar el módulo principal o MAIN.

Un segundo módulo fue detectado con el nombre Native en Octubre del 2016, la estrategia era la misma básicamente, cargaba el módulo, al ejecutarlo se solicitaba al servidor el módulo con la carga principal.

Uno de los comportamientos curiosos que están asociados con la evasión del análisis es que las aplicaciones infectadas descargadas directamente de la App Store no solicitaban la carga útil, solo lo hacían aquellas que han sido descargadas vía anuncios.

 

TERCER MÓDULO

En abril del 2017 el módulo fue modificado nuevamente, esta vez se movió la funcionalidad hacia una clase Classes.dex

La principal diferencia es que ya no es un módulo descargador, ya no descarga el módulo desde un servidor malicioso, en su lugar, contiene un módulo encriptado proporcionado en el paquete de instalación de la aplicación y contiene un archivo llamado info.data

Cuenta con un módulo encriptado en la carpeta Activos del paquete de instalación. El archivo llamado info.data es tratado con XOR con 0x12 y luego se carga con el método ClassLoad.

En todos los casos, el malware finalmente lo que hace es conseguir ejecutarse con los privilegios de root, para hacerse del control del dispositivo. Esto permite realizar posteriores descargas, monitoreo de las acciones del usuario, robo de información y todo un paquete de posibilidades.

En la tabla siguiente se muestran algunos Exploits, y exploit droppers de Ztorg

Nombre del archivo
MD5
data/files/.Ag/Agcr
D484A52CFB0416CE5294BF1AC9346B96
data/files/.Ag/Agcr
B111DD21FD4FCEFDC8268327801E55CE
data/files/.zog/.ag/bx
70EBFA94C958E6E6A7C6B8CD61B71054
data/files/.zog/.ag/cx
892E033DA182C06794F2B295377B8A65
data/files/.zog/exp
6E17234C57308012911C077A376538DC
data/files/.zog/.ag/nn.zip
ab9202ccfdd31e685475ba895d1af351
data/files/.zog/.ag/nn.zip
70ebfa94c958e6e6a7c6b8cd61b71054
data/files/.zog/.ag/ym
F973BAA67B170AB52C4DF54623ECF8B3
data/files/.zog/.ag/ym
807A6CF3857012E41858A5EA8FBA1BEF
data/files/.zog/.aa
c27e59f0f943cf7cc2020bda7efb442a
data/files/.zog/.aa
368df668d4b62bdbb73218dd1f470828
data/files/.zog/.aa
fb8449d1142a796ab1c8c1b85c7f6569
data/files/.zog/.aa
04dd488783dffcfd0fa9bbac00dbf0f9
data/files/.zog/.ad
b4b805dc90fa06c9c7e7cce3ab6cd252
data/files/.zog/.ag/np
1740ae0dc078ff44d9f229dccbd9bf61

Módulos maliciosos

Nombre del archivo
MD5
Ruta después de la infección.
data/files/.zog/.am
b30c193f98e83b7e6f086bba1e17a9ea
/system/xbin/.gasys
data/files/.zog/.an
41ab20131f53cbb6a0fb69a143f8bc66
/system/lib/libgstdsys.so
data/files/.zog/.b
ae822aed22666318c4e01c8bd88ca686
/system/xbin/.gap.a
data/files/.zog/.k
5289027ca9d4a4ed4663db445d8fc450
/system/bin/debuggerd
data/files/.zog/.m
5af47875666c9207110c17bc8627ce30
/system/bin/ddexe
data/files/.zog/.c
d335ac148f6414f0ce9c30ac63c20482
/system/xbin/.gap

Ahora bien, Ztorg ha tenido recientemente una nueva modificación. Recordemos que su forma de instalarse ha estado relacionada con los anuncios, bien, ahora se le ha relacionado con el envío de mensajes.

Dos aplicaciones fueron detectadas por SecureList como comprometidas con la descarga de Ztorg en su versión Trojan-SMS.AndroidOS.Ztorg.a

· Magic Browser
· Noise Detector

 

CAMBIANDO DE NUEVO

Esta nueva modalidad de operación de Ztorg tiene el siguiente comportamiento:

Espera esperará 10 minutos antes de intentar conectarse a su servidor C&C. Y lo hace mediante dos solicitudes GET, en ambos casos incluye parte de la Identidad Internacional del Suscriptor Móvil (IMSI). La primera solicitud se verá así:

GET c.phaishey.com/ft/x250_c.txt, where 250 – primeros tres dígitos del IMSI.

Si el malware recibe algún tipo de respuesta entones lanza el segundo GET como se muestra

GET c.phaishey.com/ft/x25001_0.txt, where 25001 – primeros cinco dígitos del IMSI.

La teoría que explica la razón detrás de este tipo de información enviada al C&C es que los dígitos enviados corresponden a el código del país de la víctima, y el código de la red móvil. Con estos códigos, los delincuentes, pueden elegir un mensaje.

Lo interesante del IMSI es que los tres primeros dígitos son el MCC (código móvil del país) y el cuarto y el quinto dígitos son el MNC (código de la red móvil). Usando estos dígitos, los ciberdelincuentes pueden identificar el país y el operador móvil del usuario infectado. Ellos necesitan esto para elegir qué SMS de tarifa premium debe ser enviado.

¿Dónde está el truco?

El beneficio consiste en poder suscribir al usuario a servicios que no solicitó y que le generarán cargos. De este modo los criminales consiguen ingresos por facturaciones a servicios que el usuario no quería.

 

CONCLUSIÓN

Como podemos notar en la evolución de este malware para dispositivos móviles, esta última modificación podría parecer una opción poco rentable en comparación con el robo de información bancaria, sin embargo, a considerar por la cantidad de descargas que Ztorg ha sido capaz de lograr, puede estar generándoles ingresos considerables.

Además de considerar la instalación de aplicaciones que detecten malware en móviles, es recomendable:
· Revisar con cuidado las aplicaciones que se instalan analizando los comentarios de los usuarios en busca de comentarios desfavorables.
· Revisar constantemente las aplicaciones instaladas en el dispositivo en busca de nuevas aplicaciones que pudieran haberse instalado automáticamente.
· Monitorear las suscripciones del dispositivo.

MD5 ASOCIADAS A LA NUEVA VERSIÓN DE ZTORG

F1EC3B4AD740B422EC33246C51E4782F
E448EF7470D1155B19D3CAC2E013CA0F
55366B684CE62AB7954C74269868CD91
A44A9811DB4F7D39CAC0765A5E1621AC
1142C1D53E4FBCEFC5CCD7A6F5DC7177

 

Referencias: 

Ztorg from rooting to SMS

 

 

Share with your friends










Submit
Tags: