DroidJack utiliza carga lateral... Es Super efectivo! Backdoored Pokemon GO Android App encontrado

July 07, 2016
Proofpoint Staff

Resumen

Pokemon GO es el primer juego de Pokemon sancionado por Nintendo para dispositivos iOS y Android. El juego de realidad aumentada fue primero lanzado en Australia y Nueva Zelanda el 4 de julio y los usuarios en otras regiones rápidamente clamaron por versiones de sus dispositivos. Fue lanzado el 6 de julio en los Estados Unidos, pero el resto del mundo seguirá siendo tentado a encontrar una copia fuera de los canales legítimos. Para ello, un número de publicaciones ha dado tutoriales para "carga lateral" la aplicación en Android. Sin embargo, como con cualquier aplicaciones instaladas fuera de tiendas de aplicaciones oficiales, los usuarios pueden obtener más de lo que esperaban para.

En este caso, los investigadores de Proofpoint descubrieron una versión Android infectada de la recién estrenada móvil juego Pokemon GO [1]. Esta APK específico fue modificado para incluir la herramienta de acceso remoto malicioso (rata) llamada DroidJack (también conocido como SandroRAT), que prácticamente le daría un atacante completo control sobre el teléfono de la víctima. La rata de DroidJack se ha descrito en el pasado, incluyendo [2] de Symantec y Kaspersky [3]. Aunque no hemos observado esta APK malicioso en el salvaje, fue subido a un servicio de repositorio de archivos maliciosos en 9:19:27 UTC en 07 de julio de 2016, a menos de 72 horas después de que el juego fue lanzado oficialmente en Nueva Zelanda y Australia.

Probablemente debido a que el juego no había sido oficialmente liberado a nivel mundial al mismo tiempo, muchos jugadores que desean acceder al juego antes de que fue lanzado en su región recurrieron a descargar el APK de terceros. Además, muchos de los grandes medios de comunicación proporcionan instrucciones sobre cómo descargar el juego de un tercero [4,5,6]. Algunos incluso fueron más allá y se describe cómo instalar el APK descargado de un tercero [7]:

"Instalar una APK directamente primero tendrás a tu dispositivo Android a aceptar aplicaciones de carga lateral. Generalmente ello visitando ajustes, haga clic en el área de seguridad, y luego habilitar la casilla "orígenes desconocidos"."

Lamentablemente, esto es una práctica extremadamente riesgosa y puede conducir fácilmente a los usuarios instalar aplicaciones maliciosas en sus propios dispositivos móviles... Debe una descarga individual un APK de un tercer partido que ha sido infectado con una puerta trasera, como el que hemos descubierto, el dispositivo quedaría entonces comprometido.

Individuos preocupados de si o no se descarga un APK que tienen algunas opciones para ayudar a determinar si ya están infectados. En primer lugar, puede comprobar el hash de SHA256 de lo APK descargado. El uso legítimo que se ha ligado a menudo a por los medios de comunicación tiene un hash de 8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67, aunque es posible que haya versiones actualizadas ya liberadas. El APK malicioso que analizamos tiene un hash de SHA256 de 15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4.

Otro método sencillo para comprobar si un dispositivo está infectado sería comprobar permisos de la aplicación instalada, que por lo general pueden accederse por primera vas a configuración-> aplicaciones-> Pokemon ir y luego desplazarse hasta la sección de permisos. La figura 1 muestra una lista de permisos de la aplicación legítima. Estos permisos están sujetos a cambios dependiendo de la configuración del dispositivo; por ejemplo los permisos "Google Play servicio de facturación" y "recibir datos de Internet" no se muestra en la imagen pero se les concedió en otro dispositivo cuando descargue Pokemon ir desde la Google Play Store. En las figuras 2 y 3, los permisos se han agregado por DroidJack. Viendo los permisos concedidos a la aplicación ir Pokemon podría indicar que el dispositivo está infectado, aunque estos permisos están también sujetas a cambios en el futuro.

Pokemon-fig1.png

Figura 1: Permisos de legítimo Pokemon GO APK

 

 

Pokemon-fig2.png

Figura 2: Permisos de backdoored Pokemon GO APK (primer pantallazo)

 

Pokemon-fig3.png

Figura 3: Permisos de backdoored Pokemon GO APK (segunda captura de pantalla)

 

El APK de ir Pokemon infectado se ha modificado de tal manera que, cuando puso en marcha, la víctima probablemente no notarían que ha instalado una aplicación maliciosa. La figura 4 muestra la pantalla de inicio de la Pokemon infectado GO juego, que es idéntica a la legítima.

Pokemon-fig4.png

Figura 4: Pantalla de inicio ir de Pokemon infectado; parece idéntica a la de la aplicación legítima

 

Después de inspeccionar el juego infectado, se han añadido en comparación con el juego legítimo de tres clases destacan por el atacante. La figura 5 muestra las clases del juego legítimo mientras que la figura 6 muestra las clases del juego infectado, incluyendo las siguientes clases de agregados:

  • un
  • b
  • net.droidjack.Server

Además, esta rata de DroidJack se ha configurado para comunicarse con el comando y control (C & C) dominio pokemon [.] no-ip [...] org sobre TCP y UDP puerto 1337 (Fig. 7). No-ip.org es un servicio utilizado para asociar un nombre de dominio con una dirección IP dinámica que generalmente asignados a los usuarios de casa o pequeña empresa (en lugar de una dirección IP dedicada), sino también es utilizado con frecuencia por agentes de amenaza, junto con otros servicios similares como DynDNS. En el momento del análisis, C & C dominio resuelve a una dirección IP en Turquía (88.233.178 [.] 130) que fue no aceptar conexiones de dispositivos infectados.

Pokemon-fig5.png

Figura 5: Legítimo Pokemon ir clases

 

Pokemon-fig6.png

Figura 6: Infectados Pokemon ir clases con clases maliciosas destacadas

 

Pokemon-fig7.png

Figura 7: Dominio codificado C & C y Puerto

 

Conclusión

Instalar aplicaciones de fuentes de terceros, que oficialmente investigado y sancionado tiendas de aplicaciones corporativas, nunca es recomendable. Tiendas de aplicaciones oficiales y de la empresa tienen procedimientos y algoritmos para análisis de la seguridad de las aplicaciones móviles, mientras que aplicaciones de carga lateral de fuentes, a menudo discutibles, expone los usuarios y sus dispositivos móviles a una variedad de malware. Como en el caso de la APK comprometido "Pokemon ir" hemos analizado, el potencial existe para que los atacantes comprometer completamente un dispositivo móvil. Si se trae ese dispositivo en una red corporativa, recursos en red también están en riesgo.

A pesar de que este APK no se ha observado en la naturaleza, representa una importante prueba de concepto: es decir, que los cibercriminales pueden aprovechar la popularidad de aplicaciones como Pokemon ir a truco usuarios en instalar malware en sus equipos. Línea de fondo, simplemente porque usted puede conseguir el software más reciente en el dispositivo significa que usted debe. En cambio, descarga de aplicaciones disponibles de tiendas de aplicaciones legítimas es la mejor manera para evitar comprometer el dispositivo y las redes que tiene acceso.

 

Referencias

1.http://pokemongo.nianticlabs.com/en/

2.http://www.Symantec.com/Connect/blogs/droidjack-Rat-Tale-how-Budding-entrepreneurism-Can-Turn-Cybercrime

3.http://www.welivesecurity.com/2015/10/30/Using-droidjack-Spy-Android-expect-Visit-Police/

4.https://www.TheGuardian.com/Technology/2016/Jul/07/How-to-get-Pokemon-go-uk

5.http://www.Wired.co.uk/article/Pokemon-go-out-Now-download-IOS-Android

6.http://www.AndroidPolice.com/2016/07/07/Pokemon-Go-Now-Live-several-countries-including-Australia-New-Zealand-possibly/

7.http://arstechnica.com/Gaming/2016/07/Pokemon-go-IOS-Android-download/

 

 

Indicadores de compromiso (IOC)

COI

Tipo de IOC

Descripción

15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4

SHA256

Backdoored Pokemon GO APK

d350cc8222792097317608ea95b283a8

MD5

Backdoored Pokemon GO APK

Pokemon.no-ip.org

Dominio

DroidJack C & C

88.233.178.130

IP

DroidJack C & C

 

Seleccione firmas ET que encendería en tráfico:

2821000 || Pokemon ETPRO MOBILE_MALWARE ir AndroidOS.DroidJack DNS Lookup

2821003 || MOBILE_MALWARE ETPRO AndroidOS.DroidJack UDP CnC Faro