Hace unos días, Google anunciaba el
descubrimiento de un nuevo malware para Android. Se trata de una aplicación
maliciosa cuya misión es recopilar todo tipo de información personal sobre la
víctima para después transmitirla al atacante.
El malware implementa rutinas para
capturar datos de las principales aplicaciones de mensajería: WhatsApp,
Telegram, Messenger, Skype, GMail, etc.
Además, permite controlar de forma
remota la cámara, el micrófono y acceder a los archivos del dispositivo y a su
localización.
Aunque no se conoce con seguridad su
procedencia, los investigadores de Android Security han encontrado en su código
referencias a Equus Technologies, una empresa israelí especializada en el
desarrollo de herramientas de vigilancia. De hecho, para la investigación sobre
Lipizzan se han utilizado las mismas técnicas que en el estudio de otras
infecciones recientes como Chrysaor, desarrollada por NSO Group.
Cómo
infecta Lipizzan
El virus se camufla como una
aplicación legítima para realizar backups o para limpiar el sistema, poniendose
a disposición del público en distintos markets y repositorios (incluído Google
Play). La infección tiene lugar en dos etapas:
- Una primera
etapa, en la que la víctima descarga e instala la aplicación.
- Una segunda,
etapa en la que tras comprobar que el dispositivo es vulnerable, descarga
las instrucciones necesarias para rootear el dispositivo y controlarlo.
Muestra
de la segunda componente:
Media
Server [https://koodous.com/apks/1ba8d5f45e8cd545cc3b919bea80e7bd5c6c85fc822f52edc0669191536d43da/analysis ]
Las últimas variantes del virus
cambian el nombre de paquete, y ahora transmiten el exploit de la segunda fase
de forma cifrada, lo que dificulta la detección. Además dispone de mecanismos
de detección de máquinas virtuales para ocultar su verdadero comportamiento
ante los ojos del analista inexperto.
Lista
negra de aplicaciones
"blacklist_apps":
["org.antivirus", "com.antivirus",
"com.avast.android.mobilesecurity",
"com.cleanmaster.security", "com.avira.android", "com.trustgo.mobile.security",
"com.kms.free", "com.kaspersky.kes",
"com.kaspersky.lightscanner", "com.cleanmaster.mguard",
"com.lookout.enterprise", "com.wsandroid.suite",
"com.eset.ems2.gp",
"com.symantec.enterprise.mobile.security",
"com.qihoo.security",
"org.malwarebytes.antimalware",
"com.trendmicro.tmmssuite.mdm", "com.trendmicro.virdroid",
"com.bitdefender.antivirus", "com.zimperium.zips",
"com.psafe.msuite", "com.sophos.smsec", "com.drweb",
"com.drweb.mcc", "com.bullguard.mobile.mobilesecurity",
"com.bullguard.mobilebackup", "net.nshc.droidx3",
"net.nshc.droidx3web", "com.sophos.appprotectionmonitor",
"com.sophos.smsec",
"com.sophos.mobilecontrol.client.android",
"com.sophos.smenc", "com.comodo.cisme.antivirus",
"com.quickheal.platform", "com.mobandme.security.virusguard",
"de.gdata.mobilesecurity", "de.gdata.securechat",
"com.webroot.security.sme", "com.webroot.secureweb",
"com.ahnlab.v3mobileplus", "com.antiy.avlpro",
"com.antiy.avl"],
Servidor
de contacto
"api_url":
" https://vps.equus-tech.com:44001 ",
Más
información:
- Información oficial de los desarrolladores de Google https://android-developers.googleblog.com/2017/07/from-chrysaor-to-lipizzan-blocking-new.html
- Repositorio con muestras de Lipizzan https://github.com/fs0c1ety/Android-Malwares/tree/master/Lipizzan