Resumen
Pokémon GO es el primer juego de Pokémon autorizado por Nintendo para dispositivos iOS y Android. El juego de realidad aumentada fue primero lanzado en Australia y Nueva Zelanda el 4 de julio y los usuarios en otras regiones rápidamente clamaron por versiones de sus dispositivos. Fue lanzado el 6 de julio en los Estados Unidos, pero el resto del mundo seguirá siendo tentado a encontrar una copia fuera de los canales legítimos. Para ello, un número de publicaciones ha dado tutoriales para hacer una "carga lateral" de la aplicación en Android. Sin embargo, como con cualquier aplicación instalada desde internet y fuera de tiendas de aplicaciones oficiales, los usuarios pueden obtener más de lo que esperaban, a través de un virus de puerta trasera (backdoor).
En este caso, los investigadores de Proofpoint descubrieron una versión Pokémon GO App Android infectada del recién estrenado juego de Pokémon GO para móviles [1]. Este APK específico fue modificado para incluir una herramienta de acceso remoto malicioso (rata) llamada DroidJack (también conocido como SandroRAT), que prácticamente le daría al atacante el control completo sobre el teléfono de la víctima. La rata de DroidJack se ha descrito en el pasado, incluyendo las publicaciones [2] de Symantec y Kaspersky [3]. Aunque no hemos observado este DroidJack APK malicioso en su hábitat, fue subido a un servicio de repositorio de archivos maliciosos a las 9:19:27 UTC del 07 de julio de 2016, menos de 72 horas después de que el juego fue lanzado oficialmente en Nueva Zelanda y Australia.
Probablemente debido a que el juego no había sido oficialmente lanzado a nivel mundial. Al mismo tiempo, muchos jugadores que deseaban acceder al juego antes de que fuera lanzado en su región recurrieron a descargar el Pokémon GO APK de terceros. Además, muchos de los grandes medios de comunicación proporcionaron instrucciones sobre cómo descargar el juego de un tercero [4,5,6]. Algunos incluso fueron más allá y describieron cómo instalar el APK descargado de un tercero [7]:
"Para instalar un APK directamente, primero tendrás que aceptar aplicaciones de carga lateral en tu dispositivo móvil. Generalmente esto se puede hacer visitando ajustes, seleccionando el área de seguridad, y luego habilitando la casilla "orígenes desconocidos"."
Lamentablemente, esto es una práctica extremadamente riesgosa y puede conducir fácilmente a los usuarios a instalar aplicaciones maliciosas en sus propios dispositivos móviles... Si un individuo descarga un APK de un tercero que ha sido infectado con una puerta trasera, como el que hemos descubierto, el dispositivo quedaría entonces comprometido.
Las personas preocupadas por si descargaron o no un APK malicioso tienen algunas opciones para ayudarles a determinar si están infectadas. En primer lugar, pueden comprobar el hash de SHA256 del APK descargado. La aplicación legítima que se ha enlazado y compartido mas a menudo a por los medios de comunicación tiene un hash de 8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67, aunque es posible que haya versiones actualizadas ya liberadas. El APK malicioso que analizamos tiene un hash de SHA256 de 15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4.
Otro método sencillo para comprobar si un dispositivo está infectado sería comprobar los permisos de la aplicación instalada, que por lo general pueden accederse desde configuración-> aplicaciones-> Pokémon GO y luego desplazarse hasta la sección de permisos. La figura 1 muestra una lista de permisos de la aplicación legítima. Estos permisos están sujetos a cambios dependiendo de la configuración del dispositivo; por ejemplo los permisos "Google Play servicio de facturación" y "recibir datos de Internet" no se muestra en la imagen pero se les concedió acceso en otro dispositivo cuando se descargó Pokémon ir desde la Google Play Store. En las figuras 2 y 3, los permisos se han agregado por DroidJack APK. Viendo estos permisos concedidos a la Pokémon GO app android, podría indicar que el dispositivo está infectado, aunque estos permisos están también sujetos a cambios en el futuro.
El APK de Pokémon GO infectado por el virus de puerta trasera (backdoor) se ha modificado de tal manera que, cuando se puso en marcha, la víctima probablemente no notaría que ha instalado una aplicación maliciosa. La figura 4 muestra la pantalla de inicio del juego Pokémon GO infectado, que es idéntica a la legítima.
Después de inspeccionar el juego infectado, el atacante ha añadido en comparación con el juego legítimo, tres clases destacadas. La figura 5 muestra las clases del juego legítimo mientras que la figura 6 muestra las clases del juego infectado, incluyendo las siguientes clases añadidas:
- un
- b
- net.droidjack.Server
Además, esta rata de DroidJack se ha configurado para comunicarse con el comando y control (C & C) dominio Pokémon [.] no-ip [...] org sobre TCP y UDP puerto 1337 (Fig. 7). No-ip.org es un servicio utilizado para asociar un nombre de dominio con una dirección IP dinámica que generalmente asignados a los usuarios desde su casa o pequeña empresa (en lugar de una dirección IP dedicada), pero también es utilizado con frecuencia por agentes de amenaza, junto con otros servicios similares como DynDNS. En el momento del análisis, C & C dominio resuelve a una dirección IP en Turquía (88.233.178 [.] 130) que no aceptaba conexiones de dispositivos infectados.
Conclusión
Instalar aplicaciones de fuentes de terceros, que no son oficialmente examinados y autorizados por las tiendas de aplicaciones corporativas, nunca es recomendable. Las tiendas de aplicaciones oficiales y de la empresa oficial tienen procedimientos y algoritmos para análisis de la seguridad de las aplicaciones móviles, mientras que aplicaciones de carga lateral de fuentes, a menudo discutibles, expone los usuarios y sus dispositivos móviles a una variedad de malware. Como en el caso del APK comprometido " Pokémon GO " que hemos analizado, es potencialmente posible que los atacantes puedan comprometer completamente un dispositivo móvil. Si se lleva y utiliza ese dispositivo en una red corporativa, los recursos en red de la empresa también están en riesgo.
A pesar de que este APK no se ha observado en su hábitat, representa una importante prueba de concepto: es decir, que los cibercriminales pueden aprovechar la popularidad de aplicaciones como Pokémon GO para engañar a los usuarios y que instalen malware en sus equipos. En resumidas cuentas, simplemente porque usted pueda conseguir el software más reciente en el dispositivo no significa que usted deba hacerlo. En cambio, descargar aplicaciones disponibles de tiendas de aplicaciones legítimas es la mejor manera para evitar comprometer el dispositivo y las redes a las que tiene acceso.
Referencias
1.http://pokemongo.nianticlabs.com/en/
3.http://www.welivesecurity.com/2015/10/30/Using-droidjack-Spy-Android-expect-Visit-Police/
4.https://www.TheGuardian.com/Technology/2016/Jul/07/How-to-get-Pokemon-go-uk
5.http://www.Wired.co.uk/article/Pokemon-go-out-Now-download-IOS-Android
7.http://arstechnica.com/Gaming/2016/07/Pokemon-go-IOS-Android-download/
Indicadores de compromiso (IOC)
|
Seleccione firmas ET que encendería en tráfico:
2821000 || Pokémon ETPRO MOBILE_MALWARE ir AndroidOS.DroidJack DNS Lookup
2821003 || MOBILE_MALWARE ETPRO AndroidOS.DroidJack UDP CnC Faro