'System Update' Android Malware

Los usuarios de Android están bajo la amenaza de un nuevo malware sofisticado de Android que se hace pasar por una aplicación de 'Actualización del sistema'. La amenaza fue descubierta recientemente por los investigadores de infosec. Según sus hallazgos, el malware 'System Update' exhibe una amplia gama de funcionalidades amenazantes con algunas características raramente vistas, una infraestructura de Comando y Control (C2, C&C) bien establecida con diferentes servidores para comunicaciones entrantes y salientes, así como técnicas de detección-evitación.

Si puede infiltrarse en el dispositivo del usuario, el malware 'System Update' actúa como un RAT (troyano de acceso remoto) de manera efectiva que puede recopilar y exfiltrar datos, ejecutar comandos entrantes y tomar el control de ciertas funciones del dispositivo infectado. Cabe señalar que la amenaza no ha podido infringir la tienda oficial de Google Play y, en cambio, se propaga a través de plataformas de aplicaciones de terceros.

Un amplio conjunto de funciones sofisticadas

El malware 'System Update' exhibe una multitud de capacidades amenazantes que permiten a los atacantes realizar varias acciones nefastas en el dispositivo Android comprometido. Una vez establecida, la amenaza inicia la comunicación con un servidor Firebase C&C. Durante el intercambio inicial, se envían varios datos sobre el dispositivo infectado, incluidos: si WhatsApp está presente en el sistema, la carga de la batería, las estadísticas de almacenamiento y el tipo de conexión a Internet. La información junto con un token recibido del servicio de mensajería de Firebase se usa para registrar el dispositivo con C&C. La amenaza de malware utiliza Firebase C&C solo para recibir comandos entrantes, mientras que todos los datos extraídos se envían a un servidor C&C diferente a través de solicitudes POST.

Los comandos específicos recibidos por la amenaza, desencadenan diferentes funcionalidades. El malware 'System Update' puede acceder al micrófono y comenzar a grabar audio o grabar conversaciones telefónicas. Los datos recopilados se guardarán como un archivo ZIP antes de cargarlos en el servidor C&C. La amenaza molesta al usuario con solicitudes para habilitar los servicios de accesibilidad repetidamente y, si tiene éxito, intentará raspar los detalles de la conversación y los mensajes de la pantalla de WhatsApp.

El software espía establece numerosos oyentes, observa y transmite intenciones que desencadenan acciones amenazantes específicas como recopilar datos del portapapeles, espiar SMS, contactos, registros de llamadas, notificaciones, ubicación GPS, etc. Los archivos almacenados en el dispositivo comprometido serán escaneados y cualquier que tenga un tamaño inferior a 30 MB y se considere valioso, como tener extensiones .pdf, .docx, .doc, .xlsx, .xls, .pptx y .ppt, se copiarán y luego se exfiltrarán en el servidor de C&C. También se extraerán más datos privados del usuario, como marcadores e historial de búsqueda, de navegadores web populares como el navegador de Internet Samsung, Google Chrome y Mozilla Firefox.

El software espía es extremadamente consciente de que los datos que recopila están lo más actualizados posible. Captura los datos de ubicación del GPS o de la red y los actualiza cada 5 minutos. La misma técnica también se utiliza para las fotos tomadas con la cámara del dispositivo, y solo se aumenta el intervalo a 40 minutos.

Varias técnicas ocultan las actividades anormales

Además de sus amplias capacidades de RAT y software espía, el malware 'System Update' también ha sido equipado con numerosas técnicas diseñadas para mantenerlo oculto de miradas indiscretas. Los más básicos incluyen bloquear el icono de la aplicación amenazante para que no se muestre correctamente en la pestaña del cajón o en el menú del dispositivo infectado. Todos los archivos que contienen información recopilada se eliminan inmediatamente después de recibir una respuesta exitosa del servidor remoto donde se exfiltran los datos. Al recopilar archivos almacenados en almacenamientos externos que incluyen numerosas imágenes de videos, el software espía se centra en recopilar las miniaturas adecuadas. Este método permite que la actividad amenazante pase relativamente desapercibida en comparación con la alternativa de crear un rastro de ancho de banda anormal masivo, especialmente.

Si el malware 'System Update' recibe un comando del servidor Firebase C&C mientras la pantalla del dispositivo comprometido está apagada, genera una notificación falsa para engañar al usuario. La notificación pretende haber sido generada por el sistema operativo del dispositivo mostrando un mensaje falso "Buscando actualización ...".