Hace
una semana, la empresa de seguridad Blue Coat ha revelado un importante APT (Advanced
Persistent Threat, Amenazas Persistentes Avanzadas) que ha afectado a entidades
petroleras, financieras, embajadas y gobiernos. Gracias al tipo de infección y
los idiomas usados, sabemos que se ha empleado para atacar a países como Rusia,
Rumania, Venezuela, Paraguay, etc. El atacante ha podido recoger datos confidenciales
a través de malware diseñados para la plataforma Windows y plataformas móviles
como Android, IOS, y Blackberry.
Sin embargo en esta ocasión lo
que destaca especialmente es el uso de malware dirigido a dispositivos móviles.
Nos han parecido especialmente interesantes los ataques realizados a
plataformas Android, por lo que vamos a mostrar un análisis más detallado del malware empleado.
Infección
Los atacantes han usado el correo
para llegar a sus víctimas. Abajo se muestra un ejemplo de un correo destinado
al gobierno de Paraguay ("
.gov.py").
Al acceder desde un móvil Android sobre el enlace "
http://bit.ly/1v7", el usuario descargaba la aplicación
"
WhatsAppUpdate.apk" que hacía
crear al usuario que se trataba de una actualización para WhatsApp.
Análisis del malware
La siguiente imagen muestra la lista de permisos requeridos por la
aplicación. A primera vista, vemos que el atacante está muy interesado por las
comunicaciones de la victima (llamadas y registros de llamadas), los SMS recibidos, su ubicación,
su calendario, su lista de contactos, los favoritos de su navegador y archivos.
Según la fechas de los archivos
contenidos dentro del malware fue programado el 13 de octubre 2014 (hace 3
meses que está activo). Además, la aplicación parece estar desarrollada por
indios, por la presencia de comentarios en hindú. ¿Los indios estarían
interesados en la recogida de información confidencial de países de América
Latina?
Además, el malware tiene un
servicio para grabar las conversaciones durante las llamadas telefónicas:
 |
| Iniciar la grabación |
 |
| Finalizar la grabación |
Recoger los comandos y enviar
los datos robados
El atacante ha atacado y
modificado tres blogs donde ha dispuesto un "payload" conteniendo el servidor donde recoger los comandos y
enviar los datos robados. Ha infectado los 3 blogs siguientes para diseminar el
payload:
Podemos ver un ejemplo del contenido de un blog con el payload:
El payload contiene una UrlTask ("http://
www.zlotelany. diecezja.bielsko.pl /components / indexxe.php") y las
configuraciones de un proxy (ProxyData). El malware usa esa URL para recibir
nuevas tareas como por ejemplo las actualizaciones del malware, pero también
para enviar los datos robados (registros de llamadas, etc.). El servidor proxy detrás
del servidor “
www.zlotelany.diecezja.bielsko.pl”
permite al atacante esconder el C&C que contiene las actualizaciones del
malware, los datos robados, etc.
Mostramos un ejemplo de payload
descifrado con las configuraciones del proxy contenidas dentro del ProxyData cifrado.
Cada vez que la victima hace una petición al servidor “
www.zlotelany.diecezja.bielsko.pl”,
transmite también el ProxyData y la clave correspondiente. Pensamos que el
atacante no ha incluido la configuración del proxy codificada dentro de la
pagina "indexxe.php" para que sea mas difícil identificar el servidor
proxy.
UrlTask:
http://www.zlotelany.diecezja.bielsko.pl/components/indexxe.php
ProxyData:
05ItUyVvS/Um6PtAgZhMgQAE0GWQJ97wKaUSrgcYr4B1uYwqm...
ProxyKey:
f522b4be764450ee
Cifrado de los datos
Cada vez que el malware roba
datos (llamadas, etc.), los cifra antes de escribirlos en la carpeta personal
de la aplicación. Es una manera de proteger los datos en caso de que se realice
un análisis forense. El atacante usa el algoritmo simétrico AES "PBEWITHSHA256AND128BITAES-CBC-BC"
con la contraseña
"hfsdvccnbn,klkufc
czdgr332hgngcbgfgjjmjj,kkl;popi,jlkl...hk,hkj,nfjy,jjjyyjhmmhfjoiligmhgjhkik,jkgmhhfttfbvvczccxzsaaaaqqznmg"
y la semilla "nhnfcfafssbgf,,hlou87766gfdsfdsvd"
para inicializar el algoritmo.
Conclusión
Ese malware avanzado está
destinado a grabar las llamadas telefónicas. El malware fue enviado
directamente a empleados del gobierno de Paraguay, lo que nos sugiere que existe
una entidad gubernamental detrás. Para evitar ser identificado, el atacante usa
por lo menos un proxy para esconderse y así no revelar su existencia, identidad
y el C&C donde guarda los datos robados.
Más información:
SHA256 de la muestra analizada:
Cloud Atlas: RedOctober APT is back in style
una-al-dia (13/08/2013) Ataques dirigidos, un modelo de éxito
una-al-dia (17/01/2013) Operación
octubre rojo: un malware muy "personal" (I)
una-al-dia (18/01/2013) Operación
octubre rojo: un malware muy "personal" (y II)
Laurent Delosières
