Troyano Firestarter

El troyano Firestarter es un nuevo malware cargador de Android que abusa del servicio legítimo de Firebase Cloud Messaging (FCM) para comunicarse con su infraestructura de comando y control (C2, C&C). Firebase es una subsidiaria del gigante tecnológico Google, y su servicio FCM es una herramienta en la nube multiplataforma para mensajes y notificaciones para Android, iOS y otras aplicaciones web.

El troyano Firestarter se detectó como parte de las operaciones del grupo de amenazas persistentes avanzadas llamado DoNot. La amenaza de malware muestra los esfuerzos de DoNot para reforzar la persistencia de sus puntos de apoyo establecidos en los dispositivos comprometidos. También demuestra la capacidad de los piratas informáticos para adoptar nuevas técnicas e implementarlas rápidamente en sus herramientas de malware. El enfoque principal de DoNot se ha mantenido en la región del sur de Asia y, más específicamente, en India y Pakistán de manera consistente.

Aunque no se ha confirmado de manera decisiva, el vector de distribución más probable del cargador Firestarter es a través de mensajes directos diseñados socialmente que intentan engañar a los usuarios desprevenidos para que instalen una aplicación amenazante que pretende ser una plataforma de chat. Los nombres de los archivos de la aplicación, ashmir_sample.apk o Kashmir_Voice_v4.8.apk, muestran el continuo interés de DoNot en la crisis de Cachemira.

El troyano Firestarter abusa del servicio legítimo

Una vez ejecutada, la aplicación de malware inicia una rutina de desvío que incluye varios mensajes de error falsos que se muestran al usuario en un intento de ocultar su actividad amenazante. Los mensajes indican falsamente que la aplicación no es compatible y que se desinstalará. Para fingir que la aplicación ya no está instalada, su icono se eliminará de la interfaz de usuario. Sin embargo, revisar la configuración del dispositivo mostrará que la aplicación todavía está presente en el dispositivo y funcionando en segundo plano.

La principal funcionalidad del troyano Firestarter es establecer una conexión con los servidores C2 y entregar e implementar la carga útil del malware. En su comunicación saliente, el cargador envía un token FCM de Google que contiene información diversa del sistema, incluida la dirección IP, la geolocalización, el IMEI y la dirección de correo electrónico. Esta información inicial ayuda a los piratas informáticos a determinar si el objetivo es digno de ser infectado con la principal amenaza de malware. Si deciden continuar, los ciberdelincuentes devuelven un mensaje de FCM al cargador que contiene el enlace desde donde tiene que buscar la carga útil.

El hecho de que el tráfico del troyano Firestarter explote un servicio legítimo lo ayuda a integrarse mejor con el resto de la comunicación generada por el sistema operativo Android utilizando la infraestructura de Google. Otra medida contra la detección fácil es la descarga posterior al compromiso de la carga útil amenazante, que minimiza la huella inicial de la amenaza de malware que debe infiltrarse en el dispositivo objetivo.