Escrito por Zepeng Chen recientemente, identificamos una campaña activa de Android Phishing dirigida a los usuarios indios. Los atacantes se hacen pasar por un servicio de subsidio de electricidad del gobierno para atraer a las víctimas a instalar una aplicación maliciosa. Además de robar información financiera, la aplicación Maliciosa también roba mensajes de texto, utiliza el dispositivo infectado para enviar mensajes con amordazos a la lista de contactos del usuario, se puede controlar de forma remota utilizando Firebase y el sitio web de phishing y el malware se alojó en Github. Esta cadena de ataque aprovecha los videos de YouTube, un sitio web falso similar al gobierno y un archivo APK alojado en GitHub, formando una operación de ingeniería social bien orquestada. La campaña implica promesas falsas de subsidios, robo de datos del usuario y funcionalidades de control remoto, lo que representa una amenaza sustancial para la privacidad del usuario y la seguridad financiera. McAfee, como parte de la alianza de defensa de la aplicación comprometida con la protección de los usuarios y el ecosistema de aplicaciones, informó las aplicaciones maliciosas identificadas a Google. Como resultado, Google bloqueó la cuenta FCM asociada para evitar un mayor abuso. McAfee también informó el repositorio alojado en GitHub al equipo de soporte de desarrolladores de GitHub, que tomó medidas y ya lo eliminó de GitHub. McAfee Mobile Security detecta estas aplicaciones maliciosas como una amenaza de alto riesgo. Para obtener más información y para protegerse completamente, visite McAfee Mobile Security. Antecedentes El Gobierno de la India ha aprobado el primer ministro Surya Ghar: Muft Bijli Yojana el 29 de febrero de 2024 para aumentar la participación de la capacidad solar en la azotea y capacitar a los hogares residenciales para generar su propia electricidad. El esquema proporciona un subsidio del 60% del costo unitario solar para sistemas de hasta 2kW de capacidad y el 40 por ciento del costo adicional del sistema para sistemas entre 2 y 3kW de capacidad. El subsidio ha sido limitado a 3kW de capacidad. El consumidor interesado tiene que registrarse en el portal nacional. Esto debe hacerse seleccionando el estado y la compañía de distribución de electricidad. Los estafadores usan esta actividad de subsidio para crear sitios web de phishing y aplicaciones falsas, robando la información de la cuenta bancaria de los usuarios que desean solicitar este subsidio. Métodos de distribución de resultados técnicos Esta operación de phishing se desarrolla en múltiples etapas: Video de YouTube señuelo: los atacantes cargan videos promocionales que afirman que los usuarios pueden recibir «subsidios de electricidad del gobierno» a través de una aplicación móvil. Se incluye una URL acortada en la descripción del video para alentar a los usuarios a hacer clic. Figura 1. Video de YouTube que promueve la URL de phishing 2. Imitación del sitio web de phishing: la URL acortada redirige a un sitio web de phishing alojado en GitHub. Diseñado para parecerse mucho a un portal oficial del gobierno indio. Figura 2. Phishing and Sitio web oficial El sitio de phishing tiene una instrucción falsa del proceso de registro, una vez que los usuarios creen esta introducción, no tendrán ninguna duda sobre los siguientes procesos. El sitio de phishing también tiene un icono falso de Google Play, haciendo que los usuarios crean que es una aplicación de Google Play, pero en realidad, el icono apunta a un archivo APK en GitHub. Cuando las víctimas hacen clic en el icono de Google Play, descargará el APK del repositorio de GitHub en lugar de acceder a Google Play App Store. 3. La actividad del repositorio muestra que esta aplicación maliciosa se ha desarrollado continuamente desde octubre de 2024, con actualizaciones frecuentes observadas en las últimas semanas. Figura 3. Repositorio de malware en la instalación de GitHub sin red El APK descargado no es el principal componente malicioso. En cambio, contiene un archivo APK integrado en Assets/App.apk, que es el malware real. El APK inicial solo sirve para instalar el incrustado. Durante la instalación, los usuarios se engañan al creer que están instalando una «actualización de seguridad» y se les solicita a deshabilitar los datos móviles o Wi-Fi, probablemente reducir la efectividad de las soluciones de detección de malware que utilizan tecnologías de detección en la nube. Pero McAfee todavía puede detectar esta amenaza en modo fuera de línea Figura 4. Instale un APK malicioso sin una red de acuerdo con las instrucciones de instalación, se instalará una aplicación maliciosa. Hay 2 aplicaciones instaladas en dispositivos. PMBY: el APK inicial, se usa para instalar PMMBY. PMMBY – Malware APK, se instala bajo la apariencia de «Actualización segura» Figura 5. Nombres e iconos de aplicaciones. El análisis de malware PMMBY es una aplicación que en realidad lleva a cabo un comportamiento malicioso: profundicen en los detalles concretos de cómo logra esto. Significa un permiso agresivo cuando se lanza. Read_contacts – Lista de lectura Lista de contactos Call_phone: haga/administre llamadas telefónicas Read_sms, Send_SMS – Ver y enviar acceso a la notificación de mensajes SMS – para enviar spam o enmascarar acciones maliciosas Figura 6. Solicitud de permisos agresivos Solicitud de interfaz de usuario falsa y registro una vez que se otorgan permisos, la aplicación muestra una pantalla de selección de proveedor de electricidad falsa. El mensaje «Para obtener 300 unidad gratis cada mes, seleccione su proveedor de electricidad desde abajo y continúe» se muestra en inglés e hindi para solicitar a los usuarios que seleccionen a su proveedor. Figura 7. «Seleccione la actividad de su proveedor» Después de seleccionar un proveedor, la aplicación presenta un formulario de registro falso que solicita el número de teléfono del usuario y un pago de ₹ 1 para «generar un token de registro». Figura 8. Formulario de registro En esta etapa, el malware crea una tarea de fondo para enviar una solicitud HTTPS a HTTPS[://]cambiar[.]ly/dclinkto2. El texto de respuesta es https[://]sqcepo[.]replicación[.]aplicación/puerta[.]html, https[://]sqcepo[.]replicación[.]aplicación/addsm[.]php. La cadena se divide como 2 URL. URL de PIN UPI – HTTPS[://]sqcepo[.]replicación[.]aplicación/puerta[.]html. Se utilizará en el proceso «Enter UPI PIN». Cuando el malware usa esta URL, «Gate.html» se reemplazará con «Gate.hml», por lo que la URL cargada es HTTPS[://]sqcepo[.]replicación[.]aplicación/puerta[.]htm. URL cargada por SMS – HTTPS[://]sqcepo[.]replicación[.]aplicación/addsm[.]php. Los mensajes entrantes de SMS se cargan a esta URL. Figura 9. Solicitud de DCLINKTO2 en la etapa de «hacer el pago de ₹ 1» «Se pide a las víctimas que usen la aplicación» UPI-Lite «para completar el pago. En la actividad «UPI-Lite», las víctimas ingresan al código PIN del banco UPI. Figura 10. El proceso de «Enter UPI PIN» UPI Credential Robo Upi-Lite La actividad es una forma falsa basada en HTML de HTTPS[://]sqcepo[.]replicación[.]aplicación/puerta[.]htm. Una vez enviado, el número de teléfono, los datos bancarios y el PIN UPI se cargan a HTTPS[://]sqcepo[.]replicación[.]app/addup.php. Después de que el atacante obtiene esta información, pueden robar dinero de su cuenta bancaria. Figura 11. Publicar información bancaria del usuario. Comportamientos de fondo de malware Además de robar la información financiera y bancaria del usuario, el malware también puede enviar la distribución en sí mismo enviando un mensaje de phishing a la lista de contactos de la víctima, robando los mensajes de texto del usuario probablemente para interceptar códigos 2FA y puede controlarse de forma remota a través de Firebase. Envíe mensajes SMS de phishing masivo a los usuarios indios desde la lista de contactos de las víctimas. Figura 12. Envíe un mensaje SMS de phishing. Sube el mensaje SMS al servidor. El malware ha solicitado el permiso de vista SMS cuando se inicia. Cuando recibe el mensaje SMS entrante, maneja el mensaje y publica los datos a continuación en el servidor remoto (HTTPS[://]sqcepo[.]replicación[.]aplicación/addsm[.]php). Sendernum: el número de teléfono de enviar el mensaje entrante. Mensaje: el mensaje SMS entrante. Slot: qué ranura SIM para recibir el dispositivo de mensaje RAND: se creó un número aleatorio durante la primera ejecución para identificar el dispositivo. Figura 13. Post Mensaje SMS entrante Firebase como un canal de comando. Los atacantes usan FCM (mensajería en la nube Firebase) para enviar comandos a los dispositivos de control. De acuerdo con el valor _type, el malware ejecuta diferentes comandos. Tabla 1. Los comandos del mensaje FCM Figura 14. Los comandos de las recomendaciones de mensajes FCM para proteger contra tales ataques, usuarios y defensores tales sofisticados deben tomar las siguientes precauciones: evite descargar aplicaciones de sitios web no oficiales: especialmente aquellos que ofrecen beneficios como subsidios, recompensas o ayuda financiera. Tenga cuidado con las aplicaciones que requieren conexiones de red deshabilitantes: a menudo es una bandera roja utilizada para evadir el escaneo antivirus en tiempo real. Revise cuidadosamente los permisos de la aplicación: aplicaciones que solicitan acceso de contacto, lectura/envío de SMS o permisos de llamadas, sin razón clara, deben tratarse como sospechosos. Use el software de seguridad con protección SMS: habilite alertas de permiso y use aplicaciones de seguridad móvil de buena reputación para detectar un comportamiento de aplicaciones anormal. El detector de estafas de McAfee como protección adicional para la parte de amordazamiento. Los ciberdelincuentes están utilizando temas relevantes como subsidios energéticos para engañar a los usuarios para que proporcionen información financiera. Esta campaña demuestra una cadena de ataque integrada y sigilosa. YouTube se usa para distribuir el enlace de phishing, GitHub es un sitio web confiable y legítimo para usarlo para distribuir APK maliciosos y servir sitios web de phishing, hace que sea más difícil identificarlo y eliminarlo, y los autores de malware pueden actualizar de forma remota los mensajes de texto de phishing para que sean más efectivos para engañar a los usuarios para instalar el malware a través de la mensajería de la nube de firebase (FCM). Con sus capacidades de autopropagación, robo de datos financieros y funciones de control remoto, plantea un riesgo grave. Continuaremos monitoreando esta amenaza, rastrear las variantes emergentes y coordinaremos con plataformas relevantes para informar y ayudar a eliminar la infraestructura asociada. Indicadores de compromiso (IOCS) \ x3cimg Height = «1» width = «1» style = «Display: None» src = «https://www.facebook.com/tr?id=766537420057144&ev=pageview&noscript=1″/> \ x3c/noscript>);