Escrito por Dexter Shin Muchas agencias gubernamentales brindan sus servicios en línea para comodidad de sus ciudadanos. Además, si este servicio pudiera ofrecerse a través de una aplicación móvil, sería muy cómodo y accesible. Pero, ¿qué sucede cuando el malware se hace pasar por estos servicios? El equipo de investigación de McAfee Mobile encontró un malware InfoStealer para Android que se hacía pasar por un servicio de una agencia gubernamental en Bahréin. Este malware pretende ser la aplicación oficial de Bahrein y anuncia que los usuarios pueden renovar o solicitar licencias de conducir, visas y tarjetas de identificación en el móvil. Los usuarios que sean engañados por los anuncios que están disponibles en el móvil recibirán sin lugar a dudas la información personal necesaria para estos servicios. Llegan a los usuarios de varias formas, incluidos Facebook y mensajes SMS. Los usuarios que no están familiarizados con estos ataques cometen fácilmente el error de enviar información personal. Aplicación supuesta detallada En Bahrein, hay una agencia gubernamental llamada Autoridad Reguladora del Mercado Laboral (LMRA). Esta agencia opera con total independencia financiera y administrativa bajo la dirección de una junta directiva presidida por el Ministro de Trabajo. Proporcionan una variedad de servicios móviles y la mayoría de las aplicaciones ofrecen solo un servicio por aplicación. Sin embargo, esta aplicación falsa promueve la prestación de más de un servicio. Figura 1. Sitio web oficial legítimo de LMRA Figura 2. Aplicación falsa llamada LMRA Excluyendo las aplicaciones falsas encontradas con mayor frecuencia que simulan ser LMRA, hay varias aplicaciones falsas, incluidas Bank of Bahrain and Kuwait (BBK), BenefitPay, una empresa de tecnología financiera en Bahrein, e incluso aplicaciones. pretendiendo estar relacionado con Bitcoin o préstamos. Estas aplicaciones utilizan las mismas técnicas que las aplicaciones falsas de LMRA para robar información personal. Figura 3. Varias aplicaciones falsas que utilizan las mismas técnicas Por el tipo de aplicación que pretende este malware, podemos intuir que su finalidad es un fraude financiero para utilizar la información personal que ha robado. Además, alguien se ha visto afectado por esta campaña como se muestra en la siguiente imagen. Figura 4. Víctimas de fraude financiero (Fuente: Reddit) Método de distribución Distribuyen estas aplicaciones mediante páginas de Facebook y mensajes SMS. Las páginas de Facebook son falsas y el autor de malware crea constantemente páginas nuevas. Estas páginas dirigen a los usuarios a sitios de phishing, ya sean sitios de blogs de WordPress o sitios personalizados diseñados para descargar aplicaciones. Figura 5. Perfil de Facebook y página con un enlace al sitio de phishing. Figura 6. Uno de los sitios de phishing diseñado para descargar aplicaciones. En el caso de los SMS, los mensajes de ingeniería social se envían para engañar a los usuarios para que hagan clic en un enlace para que sientan la necesidad. para confirmar urgentemente. Figura 7. Mensaje de phishing mediante SMS (Fuente: Reddit) Lo que quieren Cuando el usuario inicia la aplicación, ésta muestra un ícono legítimo grande para que los usuarios se equivoquen. Y pide el RCP y el número de teléfono. El número CPR es un identificador exclusivo de 9 dígitos que se otorga a cada residente en Bahrein. Hay un botón de “Verificar”, pero es simplemente un botón para enviar información al servidor C2. Si los usuarios ingresan su información, pasa directamente a la siguiente pantalla sin verificación. Este paso simplemente almacena la información para el siguiente paso. Figura 8. La primera pantalla (izquierda) y la siguiente pantalla de una aplicación falsa (derecha) Hay varios menús, pero todos están vinculados a la misma URL. El valor del parámetro es la RCP y los números de teléfono ingresados ​​por el usuario en la primera pantalla. Figura 9. Todos los menús están vinculados a la misma URL. La última página solicita el nombre completo, el correo electrónico y la fecha de nacimiento del usuario. Después de ingresar todo y hacer clic en el botón «Enviar», toda la información ingresada hasta el momento se enviará al servidor c2 del autor del malware. Figura 10. Todos los datos enviados al servidor C2 Después del envío, muestra una página de finalización para engañar al usuario. Muestra un mensaje que dice que recibirá un correo electrónico dentro de las 24 horas. Pero es sólo un contador que disminuye automáticamente. Entonces no hace nada después de 24 horas. En otras palabras, mientras los usuarios esperan el correo electrónico de confirmación durante 24 horas, los ciberdelincuentes explotarán la información robada para robar los activos financieros de las víctimas. Figura 11. Página de finalización para engañar a los usuarios. Además, tienen una carga útil para robar SMS. Esta aplicación tiene un receptor que funciona cuando se reciben SMS. Tan pronto como llega el SMS, envía un mensaje SMS al servidor C2 sin notificar al usuario. Figura 12. Carga útil para robar SMS Carga dinámica de sitios de phishing a través de Firebase Confirmamos que existen dos tipos de estas aplicaciones. Hay un tipo que implementa un servidor C2 personalizado y recibe datos directamente a través de la API web, y otro tipo es una aplicación que usa Firebase. Firebase es una plataforma de servicios backend proporcionada por Google. Entre muchos servicios, Firestore puede almacenar datos como una base de datos. Este malware utiliza Firestore. Debido a que es un servicio legítimo proporcionado por Google, es difícil detectarlo como una URL maliciosa. Para las aplicaciones que usan Firebase, cargue dinámicamente las URL de phishing almacenadas en Firestore. Por lo tanto, incluso si un sitio de phishing está bloqueado, es posible responder rápidamente para mantener a las víctimas ya instaladas cambiando la URL almacenada en Firestore. Figura 13. Carga dinámica de un sitio de phishing cargado en webview. Informamos las URL de Firebase relacionadas con esta amenaza a Google y ellos tomaron medidas inmediatas para hacer cumplir la ley, por lo que ya no están disponibles. Conclusión Según nuestros datos de telemetría de detección, hay 62 usuarios que ya han utilizado esta aplicación en Bahrein. Sin embargo, dado que estos datos son un número al momento de escribir este artículo, se espera que este número continúe aumentando, considerando que todavía se están creando activamente nuevas páginas de Facebook. El malware reciente tiende a apuntar a países o usuarios específicos en lugar de ataques generalizados. Estos ataques pueden ser difíciles de distinguir para los usuarios generales porque el malware utiliza con precisión las piezas que necesitan los usuarios que viven en un país específico. Por eso recomendamos a los usuarios que instalen software seguro para proteger sus dispositivos. Además, se anima a los usuarios a descargar y utilizar aplicaciones de tiendas de aplicaciones oficiales como Google Play Store o Apple AppStore. Si no puede encontrar una aplicación en estas tiendas, debe descargar la aplicación proporcionada en el sitio web oficial. McAfee Mobile Security ya detecta esta amenaza como Android/InfoStealer. Para obtener más información, visite McAfee Mobile Security. Ejemplos de indicadores de compromiso (IOC): SHA256 Nombre del paquete Nombre de la aplicación 6f6d86e60814ad7c86949b7b5c212b83ab0c4da65f0a105693c48d9b5798136c com.ariashirazi.instabrowser LMRA 5574c98c9df202ec7799c3feb 87c374310fa49a99838e68eb43f5c08ca08392d com.npra.bahrain.five LMRA Bahrein b7424354c356561811e6af9d8f4f4e5b0bf6dfe8ad9d57f4c4e13b6c4eaccafb com.npra.bahrain.five LM RA Bahréin f9bdeca0e2057b0e334c849ff918bdbe49abd1056a285fed1239c9948040496a com.lmra.nine.lmranine LMRA bf22b5dfc369758b655dda8ae5d642c205bb192bbcc3a03ce654e 6977e6df730 com.stich.inches Actualización de Visa 8c8ffc01e6466a3e02a4842053aa872119adf8d48fd9acd686213e158a8377ba com.ariashirazi.instabrowser EasyLoan 164fafa8a48575973eee3a33ee9434ea07bd48e18 aa360a979cc7fb16a0da819 com.ariashirazi.instabrowser BTC Flasher 94959b8c811fdcfae7c40778811a2fcc4c84fbdb8cde483abd1af9431fc84b44 com.ariashirazi.instabrowser BenefitPay d4d0b7660e90be 081979bfbc27bbf70d182ff1accd829300255cae0cb10fe546 com.lymors.lulumoney Dominios de la aplicación de préstamos BBK: https[://]https://lmraa.com/[://]lmjbfv.sitio https[://]dbjiud.sitio https[://]a.jobshuntt.com https[://]shop.wecarerelief.ca Firebase (para C2): https[://]npra-5.firebaseio.com https[://]lmra9-38b17.firebaseio.com https[://]Practice-8e048.firebaseio.com McAfee Mobile Security Mantenga la privacidad de la información personal, evite estafas y protéjase con tecnología impulsada por IA. Descargue la aplicación gratis \x3Cimg height=»1″ width=»1″ style=»display:none» src=»https://www.facebook.com/tr?id=766537420057144&ev=PageView&noscript=1″ />\ x3C/noscript>’);