Escrito por Dexter Shin La mayoría de las personas tienen teléfonos inteligentes hoy en día que pueden usarse para buscar fácilmente diversos temas de interés en Internet. Estos temas podrían tratar sobre cómo mejorar su privacidad, mantenerse en forma con actividades como Pilates o yoga, o incluso encontrar nuevas personas con quienes hablar. Por lo tanto, las empresas crean aplicaciones móviles para que sean más convenientes para los usuarios y las anuncian en sus sitios web. Pero, ¿es seguro descargar estas aplicaciones anunciadas mediante búsquedas en sitios web? El equipo de investigación de McAfee Mobile observó recientemente una aplicación maliciosa de robo de información para Android e iOS entregada a través de sitios de phishing. Este malware se activó a principios de octubre y se ha observado instalado en más de 200 dispositivos, según la telemetría de McAfee. Todos estos dispositivos están ubicados en Corea del Sur. Teniendo en cuenta que todos los sitios de distribución de phishing están activos al momento de escribir esta publicación de blog, se espera que la cantidad de dispositivos afectados continúe aumentando. El autor del malware selecciona un servicio que la gente puede encontrar interesante y atrae a las víctimas disfrazando su servicio. También crean sitios de phishing que utilizan recursos de sitios legítimos, haciéndolos parecer idénticos y engañando a los usuarios haciéndoles creer que son el sitio web oficial de la aplicación que desean instalar. El sitio de phishing también proporciona versiones para Android e iOS de la aplicación maliciosa. Cuando los usuarios finalmente descargan y ejecutan la aplicación a través de este sitio de phishing, su información de contacto y mensajes SMS se envían al autor del malware. McAfee Mobile Security detecta esta amenaza como Android/SpyAgent. Para obtener más información, visite McAfee Mobile Security. Cómo distribuir Recientemente presentamos SpyNote a través de una campaña de phishing dirigida a Japón. Después de que encontramos este malware y confirmamos que estaba dirigido a Corea del Sur, sospechamos que también se distribuía a través de una campaña de phishing. Entonces investigamos varias comunidades en Corea. En uno de ellos, llamado Arca Live, pudimos confirmar su método de distribución exacto. Inicialmente se acercan a las víctimas a través de mensajes SMS. En esta etapa, los estafadores se hacen pasar por mujeres y envían mensajes seductores con fotografías. Después de un poco de conversación, intentan mover el escenario a LINE Messenger. Después de pasar a LINE Messenger, el estafador se vuelve más agresivo. Envían a las víctimas un enlace para realizar una videollamada y dicen que solo debe hacerse mediante una aplicación que impida la captura. Ese enlace es un sitio de phishing donde se descargarán aplicaciones maliciosas. Figura 1. Distribuir sitios de phishing desde LINE Messenger después de pasar de SMS (texto rojo: estafador, texto azul: víctima) ¿Qué hacen los sitios de phishing? Uno de los sitios de phishing se disfraza de Camtalk, una aplicación de red social legítima disponible en Google Play Store y Apple App Store, para engañar a los usuarios para que descarguen aplicaciones maliciosas de Android e iOS desde servidores remotos. Utiliza el mismo texto, diseño y botones que el sitio web legítimo de Camtalk, pero en lugar de redirigir a los usuarios a la tienda de aplicaciones oficial, los obliga a descargar la aplicación maliciosa directamente: Figura 2. Comparación del sitio legítimo (izquierda) y el sitio de phishing (Derecha) Además de pretender ser una aplicación de red social, los autores de malware detrás de esta campaña también utilizan otros temas diferentes en sus sitios de phishing. Por ejemplo, la aplicación en la primera imagen a continuación ofrece almacenamiento basado en la nube para fotos y funciones ampliadas, y una aplicación de álbum predeterminada que tiene la capacidad de proteger los álbumes deseados estableciendo una contraseña. Y las aplicaciones en la segunda y tercera imagen son para yoga y fitness, y atraen a los usuarios con temas que se pueden buscar fácilmente en las cercanías. El punto importante es que normalmente este tipo de aplicaciones no requieren permiso para acceder a SMS y contactos. Figura 3. Muchos sitios de phishing en varios campos Todos los sitios de phishing que encontramos están alojados en la misma dirección IP y alientan a los usuarios a descargar la aplicación haciendo clic en el ícono de Google Play o el ícono de App Store. Figura 4. Flujo para descargar archivos de aplicaciones maliciosas Cuando los usuarios hacen clic en el botón de la tienda de aplicaciones, sus dispositivos comienzan a descargar el tipo de archivo (APK de Android o IPA de iOS) apropiado para cada dispositivo desde un servidor remoto en lugar de la tienda de aplicaciones oficial. Y luego los dispositivos piden a los usuarios que lo instalen. Figura 5. El proceso de instalación de aplicaciones en Android Figura 6. El proceso de instalación de aplicaciones en iOS Cómo firmar malware para iOS iOS tiene políticas más restrictivas con respecto a la descarga en comparación con Android. En dispositivos iOS, si una aplicación no está firmada con la firma o el certificado de un desarrollador legítimo, se debe permitir manualmente. Esto se aplica cuando se intenta instalar aplicaciones en dispositivos iOS desde fuentes distintas a la tienda de aplicaciones oficial. Por lo tanto, se requieren pasos adicionales para instalar una aplicación. Figura 7. Necesidad de verificar el certificado de desarrollador en iOS Sin embargo, este malware de iOS intenta eludir este proceso utilizando métodos únicos. Algunos usuarios de iPhone quieren descargar aplicaciones a través de tiendas de terceros en lugar de Apple App Store. Hay muchos tipos de tiendas y herramientas en Internet, pero una de ellas se llama Scarlet. La tienda comparte certificados empresariales, lo que facilita a los desarrolladores o piratas informáticos que quieran utilizar la tienda compartir sus aplicaciones con los usuarios. En otras palabras, dado que los usuarios ya configuraron el certificado en «Confianza» al instalar la aplicación llamada Scarlet, otras aplicaciones que utilicen el mismo certificado instalado posteriormente se verificarán automáticamente. Figura 8. Aplicación verificada automáticamente después de la instalación de una tienda de terceros. Los usuarios generales también pueden descargar fácilmente sus certificados empresariales. Figura 9. Certificado empresarial compartido a través de Messenger. El malware de iOS utiliza estos certificados. Por lo tanto, para los dispositivos que ya tienen el certificado confiable que utiliza Scarlet, no se requieren pasos adicionales para ejecutar este malware. Una vez instalada, la aplicación se puede ejecutar en cualquier momento. Figura 10. Verificación automática y aplicación ejecutable. ¿Qué quieren? Todas estas aplicaciones tienen el mismo código, solo el nombre y el ícono de la aplicación son diferentes. En el caso de Android, requieren permisos para leer tus contactos y SMS. Figura 11. La aplicación maliciosa requiere permisos confidenciales (Android) En la función getDeviceInfo(), android_id y el número de teléfono del dispositivo víctima se envían al servidor C2 con el fin de identificar cada dispositivo. Posteriormente, en la siguiente función, toda la información de contacto del usuario y los mensajes SMS se envían al servidor C2. Figura 12. Datos sensibles robados por malware (Android) Y en el caso de iOS, solo requieren permiso para leer tus contactos. Y requiere que el usuario ingrese su número de teléfono para ingresar a la sala de chat. Por supuesto, esto se hace para identificar a la víctima en el servidor C2. Figura 13. La aplicación maliciosa requería permisos confidenciales (iOS) De manera similar a Android, hay un código dentro de iOS que recopila información de contacto y los datos se envían al servidor C2. Figura 14. Datos confidenciales robados por malware (iOS) Conclusión El enfoque de esta campaña en curso está dirigido a Corea del Sur y hasta el momento se han descubierto 10 sitios de phishing. Esta campaña puede utilizarse potencialmente para otros fines maliciosos, ya que roba el número de teléfono de la víctima, los contactos asociados y los mensajes SMS. Por lo tanto, los usuarios deben considerar todas las amenazas potenciales relacionadas con esto, ya que los datos a los que apunta el autor del malware son claros y se pueden realizar cambios en los aspectos conocidos hasta el momento. Los usuarios deben ser cautelosos, incluso si creen que están en un sitio web oficial. Si la instalación de la aplicación no se realiza a través de Google Play Store o Apple App Store, está justificada la sospecha. Además, los usuarios siempre deben verificar cuando la aplicación solicita permisos que parecen no estar relacionados con su propósito previsto. Debido a que es difícil para los usuarios lidiar activamente con todas estas amenazas, recomendamos encarecidamente que instalen software de seguridad en sus dispositivos y se mantengan siempre actualizados. Al utilizar los productos McAfee Mobile Security, los usuarios pueden proteger aún más sus dispositivos y mitigar los riesgos relacionados con este tipo de malware, brindando una experiencia más segura. Indicadores de compromiso (IOC) Indicadores Tipo de indicador Descripción hxxps://jinyoga[.]tienda/URL Sitio de phishing hxxps://mysecret-album[.]com/ URL Sitio de phishing hxxps://pilatesyoaa[.]com/URL Sitio de phishing hxxps://sweetcat19[.]com/ URL Sitio de phishing hxxps://sweetcat23[.]com/URL Sitio de phishing hxxps://telegramas[.]pro/ URL Sitio de phishing hxxps://dl.yoga-jin[.]com/ URL Sitio de phishing hxxps://aromyoga[.]es/URL Sitio de phishing hxxps://swim-talk[.]com/ URL Sitio de phishing hxxps://spykorea[.]tienda/URL Sitio de phishing hxxps://api.sweetcat23[.]com/URL servidor C2 hxxps://somaonvip[.]com/URL servidor C2 ed0166fad985d252ae9c92377d6a85025e9b49cafdc06d652107e55dd137f3b2 SHA256 Android APK 2b62d3c5f552d32265aa4fb87392292474a1c3cd7f7c10fa24f b5d486f9f7665 SHA256 Android APK 4bc1b594f4e6702088cbfd035c4331a52ff22b48295a1dd130b0c0a6d41636c9 SHA256 Android APK bb614273d75b1709e62ce764d026c287aad1fdb1 b5c35d18b45324c32e666e19 SHA256 Android APK 97856de8b869999bf7a2d08910721b3508294521bc5766a9dd28d91f479eeb2e SHA256 iOS fcad6f5c29913c6ab84b0bc48c98a 0b91a199ba29cbfc5becced105bb9acefd6 SHA256 iOS IPA 04721303e090160c92625c7f2504115559a124c6deb358f30ae1f43499b6ba3b SHA256 iOS Mach-O Binario 5ccd397ee38db0f7013 c52f68a4f7d6a279e95bb611c71e3e2bd9b769c5a700c SHA256 iOS Mach-O Binary McAfee Mobile Security Mantener privada la información personal , evite estafas y protéjase con tecnología impulsada por IA. Descargue la aplicación gratis \x3Cimg height=»1″ width=»1″ style=»display:none» src=»https://www.facebook.com/tr?id=766537420057144&ev=PageView&noscript=1″ />\ x3C/noscript>’);