Las plataformas móviles se están volviendo un objetivo muy tentador para los desarrolladores de códigos maliciosos por su gran masividad. Durante estos últimos días ha llamado la atención la aparición de Geinimi, un nuevo troyano para Android (la plataforma móvil de Google), con características muy particulares.
Entre las principales capacidades de este código malicioso se encuentra la posibilidad de recibir comandos desde un C&C (centro de comando y control) haciendo que el dispositivo infectado pase a formar parte de una botnet, cómo así también el envío de información del teléfono a una serie de dominios externos posiblemente maliciosos.
El troyano se ha encontrado en varias aplicaciones que se distribuyen a través de canales no oficiales para la descarga de aplicaciones, y entre ellas se encuentran Monkey Jump 2, Sex Positions, President vs. Aliens, City Defense y Baseball Superstars 2010. Es importante remarcar que el Market de Android no fue comprometido con estas amenazas.
En estos casos, al momento de instalar una aplicación es muy importante para los usuarios de Android que presten atención a los permisos que solicita, dado que estas aplicaciones piden acceso a recursos que no deberían por las funcionalidades que ofrecen. De esta manera el usuario podrá notar algo llamativo en la aplicación y sospechar sobre la veracidad de la misma. En la siguiente captura podemos observar los permisos que solicita una aplicación infectada con este código malicioso:
Al ver que un juego solicita permisos para acceder a los mensajes de texto, ejecutar llamadas telefónicas y leer información personal, debería significar un aviso suficiente para desconfiar que la aplicación puede contener código malicioso y por consecuencia no instalarla. Una vez que el dispositivo ha sido comprometido estará enviando cada un período aproximado de 5 minutos información tanto del usuario como del dispositivo.
Entre las principales características de este troyano se encuentran:
- Envió de un listado de las aplicaciones instaladas en el dispositivo
- Envío de la ubicación geográfica (GPS)
- Envió de datos del dispositivo (IMEI, SIM, etc)
- Conexión a un servidor remoto para enviar la información recolectada
- Descarga de aplicaciones (es necesaria la confirmación del usuario para su instalación)
Esta amenaza es detectada como Android/Spy.Geinimi.A y a la fecha es una de las amenazas más novedosas conocidas para Android, demostrando una vez más que los desarrolladores de códigos maliciosos están incursionando en las plataformas móviles. Se han observado casos anteriores como el troyano de SMS para Android, reportado el año pasado.
Para evitar comprometer los equipos es recomendable que las aplicaciones descargadas e instaladas sean de fuentes seguras, también es recomendable observar el nombre del desarrollador, los comentarios y la calificación de la aplicación. Por ello recomendamos al usuario leer el decálogo de seguridad para dispositivos móviles, donde podrán encontrar consejos acerca de cómo mantener al equipo seguro.
Quizás este código malicioso ha iniciado una nueva etapa en las plataformas móviles demostrando la posibilidad de utilizar estos equipos como parte de una botnet, incrementando de manera significativa las amenazas existentes. Debido a esto es necesaria una mayor atención por parte de los usuarios al momento de instalar aplicaciones en sus dispositivos móviles.
Principales características de este troyano para la plataforma móvil de Google:
El modo de accionar de este código malicioso es bastante particular, presentando técnicas avanzadas que denotan una gran diferencia ante los códigos maliciosos ya conocidos para esta plataforma, como el troyano de SMS para Android. Existen varias aplicaciones, distribuidas a través de repositorios no oficiales, que han sido inyectadas con este código malicioso, entre ellas se encuentran las mencionadas en la primera parte de esta entrega.
En esta ocasión se presenta un análisis particular de la aplicación SexPositions, una de las variantes que se ha encontrado infectada con este código malicioso. Todas las pruebas realizadas desde el Laboratorio de Investigación y Análisis de ESET Latinoamérica se efectuaron en un emulador de Android con la finalidad de observar el comportamiento de esta amenaza.
Cómo se había mencionado anteriormente, el primer punto llamativo al realizar la instalación de la aplicación es la gran cantidad de permisos que esta solicita. Entre los mismos se encuentran acceso al GPS, envío y recepción de mensajes de texto, llamadas telefónicas e instalación de accesos directos.
Luego de ser instalada y ejecutada la aplicación, el código malicioso intenta, en una primer instancia, contactarse con un servidor remoto, en donde abre una conexión (utilizando los puertos 5432, 4501 o 6543) y queda a la espera de recibir un mensaje al cual confirmará con la frase: “yes, I´m online!”. Una vez confirmada la disponibilidad desde el dispositivo infectado, se envían una serie de datos a un servidor remoto entre los cuales se incluye inclusive la versión del malware.
Al analizar el código de la amenaza se puede observar la sección en la cual se definen los puertos y en dónde se administra la conexión, cómo así también se observa la sección de código en la que se abren las comunicaciones y cómo se realiza la confirmación:
Una vez que la comunicación ya se encuentra establecida entre el servidor y el dispositivo, se realiza el envió de datos del teléfono en conjunto con información correspondiente a la versión del código malicioso que se esta ejecutando. Entre estos datos enviados al centro de comando (C&C) se encuentran:
- PTID, SALESID, DID, CPID: utilizados aparentemente para la identificación de la aplicación maliciosa que se ha instalado en el dispositivo.
- Latitud y longitud: permiten conocer la ubicación física del dispositivo infectado.
- SDKVER: utilizado para conocer la versión del código malicioso
- IMEI (International Mobile Equipment Identity, en español Identidad Internacional de Equipo Móvil)
- IMSI (International Mobile Subscriber Identity, en español Identidad Internacional del Abonado a un Móvil)
Estos dos últimos valores se utilizan para identificar al equipo de manera unívoca, ya que no debería existir otro teléfono con ninguno de estos dos valores. En conjunto todos los valores que son enviados al centro de control le permiten a un atacante conocer la ubicación del dispositivo infectado y qué versión del código malicioso está utilizando,pudiendo así dirigir un ataque más efectivo contra el usuario.
Otro punto muy importante de esta amenaza es que maneja información cifrada de manera dinámica, haciendo que sea más difícil detectar cómo es que se comunica o incluso cuáles son los sitios de los que puede recibir comandos. Esto es una característica muy particular que le sirve cómo defensa, ya que evita que en caso de ser encontrado sea considerado sospechoso. Dentro del código de la aplicación se encuentran métodos de cifrado utilizado por Geinimi tanto para la información de la aplicación como para las comunicaciones realizadas con el centro de control.
Por último, Geinimi cuenta con la posibilidad de recibir comandos remotos y de esta manera puede ejecutar acciones tales como la descarga e instalación de aplicaciones, envió y borrado de mensajes de texto, realizar llamadas o abrir una página web. Esto puede resultar en la instalación de otros códigos maliciosos o incluso la explotación de vulnerabilidades que pueden llevar al robo de información.
Geinimi representa un salto cuantitativo en la capacidad y complejidad de los códigos maliciosos para plataformas móviles, significando una amenaza importante para los usuarios ya que se esconde dentro de aplicaciones legítimas que han sido modificadas. Es por ello que es muy importante la educación acerca de estas amenazas, cómo así también que los usuarios cuenten con buenas prácticas para el uso de dispositivos móviles y verifiquen qué aplicaciones instalan en sus equipos.
Pablo Ramos
Especialista de Awareness & Research
