GOLDEN CUP. El malware espía que aprovechaba el Mundial para robar información

A lo largo de este año las Fuerzas de Defensa de Israel han sido el objetivo de diferentes campañas de malware espía: familias como "GlanceLove" o "WinkChat" utilizaban técnicas de ingeniería social para sustraer todo tipo de información de los soldados. El pasado 3 de julio, el equipo de ClearSky informaba de una nueva familia de malware para Android dirigida a ciudadanos israelíes.

En esta ocasión el malware utilizaba la fiebre del Mundial de Rusia para conseguir sus objetivos. La aplicación "Golden Cup", aparentemente legítima, podía descargarse de Google Play y utilizarse para mostrar en tiempo real los resultados de los partidos. Tras ella se escondía el malware que se descargaba en varias fases con objeto de eludir a los sistemas de seguridad.

·        Una vez instalada la aplicación se establecía la comunicación con el C&C utilizando el protocolo de transporte MQTT a través del puerto 1883.

·        A partir de ahora el malware puede recibir órdenes del servidor de C&C y actualizar el estado del dispositivo.

·        De forma complementaria se establece una comunicación HTTP, utilizada por el dispositivo para descargar el payload malicioso y para enviar al servidor de C&C la información recopilada.

Esto ocurre en dos fases:

1. Una primera fase en la que se envía información sobre el dispositivo: aplicaciones instaladas, su estado, etc.
2. Una segunda fase en la que se descarga otro fichero .dex que implementará varios servicios:

o   ConnManager, para gestionar la conexión con el C&C.

o   ReceiverManager que monitoriza llamadas entrantes e instalaciones de nuevas aplicaciones.

o   TaskManager encargado de gestionar los datos que se van almacenando.

Los comandos que acepta el servicio TaskManager, el virus tiene la capacidad de compartir la ubicación actual, utilizar la cámara y el microfono, además de obtener información sobre los contactos y de otro tipo.

En Koodous podemos encontrar algunas muestras

·         https://koodous.com/apks/166f3a863bb2b66bda9c76dccf9529d5237f6394721f46635b053870eb2fcc5a

·         https://koodous.com/apks/b45defca452a640b303288131eb64c485f442aae0682a3c56489d24d59439b47

·         https://koodous.com/apks/d9601735d674a9e55546fde0bffde235bc5f2546504b31799d874e8c31d5b6e9

·         https://koodous.com/apks/2ce54d93510126fca83031f9521e40cd8460ae564d3d927e17bd63fb4cb20edc

·         https://koodous.com/apks/67b1a1e7b505ac510322b9d4f4fc1e8a569d6d644582b588faccfeeaa4922cb7

·         https://koodous.com/apks/1664cb343ee830fa94725fed143b119f7e2351307ed0ce04724b23469b9002f2

Otros IOCs:

Nombres de paquete:

·        anew.football.cup.world.com.worldcup

·        com.coder.glancelove

·        com.winkchat

·        Hash del fichero DEX:

·        afaf446a337bf93301b1d72855ccdd76112595f6e4369d977bea6f9721edf37e

Dominios e IP:

·        goldncup[.]com

·        glancelove[.]com

·        autoandroidup[.]website

·        mobilestoreupdate[.]website

·        updatemobapp[.]website

·        107[.]175[.]144[.]26

·        192[.]64[.]114[.]147

Más información:

·         Infrastructure and Samples of Hamas’ Android Malware Targeting Israeli Soldiers https://www.clearskysec.com/glancelove/

·         Hamas Uses Fake Facebook Profiles to Target Israeli Soldiers https://www.idf.il/en/minisites/hamas/hamas-uses-fake-facebook-profiles-to-target-israeli-soldiers/

Fuente: Hispasec