En estos dias de crisis debido al coronavirus (COVID-19) están apareciendo múltiples páginas webs fraudulentas intentando engañar al usuario, al igual que diversas aplicaciones móviles que ayudan a seguir la pandemia. En este caso he detectado por la red la distribución de una APK cuyo nombre es Coronavirus_Tracker y me surgió la curiosidad. Dicha investigación la he realizado en conjunto con el usuario @PerikiyoXD con el fin de descubrir que es realmente esta APK.
Información básica
Algunos de los datos básicos de esta APK son los siguientes:
- MD5: 1602c0258f39b2b032edd7d6160befe7
- Package name: com.device.security
- Contiene un fichero RSA
- VirusTotal da 23/61
En el siguiente enlace hemos subido la APK por si alguien quiere trastear con ella por su cuenta: https://bazaar.abuse.ch/download/1b72847f42d4fc1296f7c4c1955523fc4cc7a323dbad6b3be5d94496c7f82e23/
Esta APK es en teoría un locker, más adelante veréis por qué digo en teoría.
Analizando la muestra de VirusTotal
Si realizamos una búsqueda del hash MD5 asociado a la APK dentro de la base de datos de muestras de VirusTotal detectamos una coincidencia. Prestando atención podemos observar que la muestra es catalogada como maliciosa por 23 motores antivirus de un total de 61.
Si miramos el apartado de detecciones veremos que muchos motores antivirus catalogan esta APP como un locker.
Os dejamos a continuación la URL de la muestra: https://www.virustotal.com/gui/file/1b72847f42d4fc1296f7c4c1955523fc4cc7a323dbad6b3be5d94496c7f82e23/detection
Ahora vamos a realizar un breve análisis de la muestra a través del graph de VirusTotal. En la imagen inferior puede visualizarse un grafo con las relaciones establecidas desde la propia muestra de la APP hacia otros tipos de IoCs.
Si vemos el gráfico veremos que esta APK no es la única que proveen, y obviamente no es la única que contiene malware potencial.
Si nos vamos a la pestaña de «behavior», podremos ver los reportes al completo de los dos sistemas de análisis que tiene VT.
El primer reporte es ofrecido por VirusTotal Droidy, la cual analiza las llamadas que hace al apk y tambien tiene una pestaña en la que nos muestra las capturas que hizo de la apk.
El segundo reporte es ofrecido por Tencent HABO, la cual analiza su contenido, ficheros, variables de entornos, etc.
Profundizando en la APP
Comenzamos a analizar esta APK a fondo, veamos que permisos nos pide al instalar:
Estos permisos son capaces de ejecutar un servicio en primer plano, capturar el Intent de inicio de sistema y continuar una ejecución independientemente de si tiene activado el ahorro de energia. Unos permisos un tanto raros para un tracker, ¿no?
A continuación vamos a ver que tipo de contenido ofrece la APP nada más acceder a ella.
Como podemos ver la imagen superior, la APP nos comenta que ha bloqueado nuestra cuenta de Instagram, aunque no tengamos, y ha subido todo a su servidor. Por este hecho, como medida de seguridad, la propia APP nos indica que ha bloqueado nuestra cuenta de Instagram con una tecnología de cifrado de 254 bits.
En el código podemos ver esta maravilla:
private void verifyPin() {
String trim = this.secretPin.getText().toString().trim();
if (TextUtils.isEmpty(trim)) {
Toast.makeText(this, "enter decryption code", 0).show();
}
if (trim.equals("4865083501")) {
SharedPreferencesUtil.setAuthorizedUser(this, "1");
Toast.makeText(this, "Congrats. You Phone is Decrypted", 0).show();
finish();
return;
}
Toast.makeText(this, "Failed, Decryption Code is Incorrect", 0).show();
}
Si le damos al botón de abajo e introducimos el código 4865083501, nos aparecerá un cuadro de texto con el mensaje «Congrats. You Phone is Decrypted«. En teoría, ya tendríamos nuestra cuenta desbloqueada, pero… en realidad nunca tuvimos nuestra cuenta bloqueada, ni nuestros archivos, ni nuestros datos fueron subidos a un servidor ni nada por el estilo.
ESTA APP NO CIFRA NADA
Así es, es solo para que una persona pique y pague 250$. Hemos investigado sus wallets de BTC y no dispone de ninguna transacción hecha, nadie a picado en ello por suerte, al menos por ahora.
Dentro del código podemos encontrar esta URI https://qmjy6.bemobtracks.com/go/ff06aca3-21c7-4619-b27a-6bae0db6722b, el cual, nos lleva al siguiente pastebin: https://pastebin.com/GK8qrfaC. Si accedemos a este último enlace descubrimos el mensaje de acontinuación:
Here is how it works
- make an account at www.coinbase.com
- verify your identity
- plug a payment method, paypal, credit card or else
- navigate to «Send» page and select «Wallet Adress»
- send 250$ worth of bitcoin to this adress: 18SykfkAPEhoxtBVGgvSLHvC6Lz8bxm3rU
- once transaction is complete, send the transaction ID to this email: [email protected]
- wait until i respond
No hemos podido relacionar el correo detectado con nada, pero si que disponemos de su wallet, aquí podeis visualizar ambas:
- BTC: https://www.blockchain.com/es/btc/address/18SykfkAPEhoxtBVGgvSLHvC6Lz8bxm3rU
- BTC Cash: https://www.blockchain.com/es/bch/address/18SykfkAPEhoxtBVGgvSLHvC6Lz8bxm3rU
Os facilito un documento PDF que contiene información más extendida del análisis, como por ejemplo, partes del código.
Conclusión
Como habeis podido apreciar, esta APK trata de extorsionar a sus víctimas con el fin de que recuperen sus datos cifrados. En este caso han utilizado el miedo generado por el coronavirus para engañar a los usuarios, haciéndoles creer que habian cifrado sus archivos siendo mentira. Por suerte nadie a caido hasta el momento y pagado el rescate. Cualquier miembro de las fuerzas y cuerpos de seguridad siempre os facilitará el mismo mensaje, nunca pagues el rescate por un caso de esta índole.
Os dejamos nuestros perfiles de Twitter por si nos queréis hacer alguna pregunta:
- Mi perfil: @W4nn4Die
- Perfil de PerikiyoXD: @PerikiyoXD