Eliminadas de Google Play 24 apps que conectan a servicios SMS premium
- Endpoint
Antes de suscribir al usuario a un servicio premium, el troyano comprueba el país del usuario a través del código de país del número de teléfono de la víctima, estando España entre los países afectados. Este malware también envia la lista de contactos y todos los SMS al servidor C&C.
Hispasec se hace eco del hallazgo en Google Play de un nuevo troyano con funcionalidades para espiar a la víctima y suscribirla a servicios SMS premium. El analista de malware Aleksejs Kuprins descubrió 24 aplicaciones publicadas en la tienda oficial de aplicaciones que suman más de 472.000 instalaciones. Joker, que es como ha sido bautizado a este nuevo troyano, debido a uno de los nombres de dominio utilizados por el malware como servidor de control, afecta a usuarios de 37 países, entre ellos España. Las apps ya han sido eliminadas de Google Play.
La aplicación utiliza la pantalla de carga para realizar la comprobación del país y la inicialización (en función del país) en segundo plano. Una vez realizada la inicialización, se realiza una petición al servidor de control para descargar la configuración para la segunda fase. Esta configuración se encuentra cifrada utilizando DES como algoritmo de cifrado. La configuración descargada contiene la URL para la descarga de un fichero DEX ofuscado que se encarga de llevar a cabo la segunda fase del ataque. En esta segunda fase, el malware contacta con el servidor de control para obtener una lista de tareas a llevar a cabo.
Las tareas contienen principalmente una URL relacionada con una campaña publicitaria, y se incluyen acciones a realizar para esa URL. De esta forma, la aplicación maliciosa cargará una vista web con la URL de la campaña y, posteriormente, ejecutará la URL con el código JavaScript indicado en el campo de acciones. Entre las acciones podemos observar código destinado a enviar formularios automáticamente, de forma que se acaba suscribiendo al usuario a la campaña publicitaria.
En el caso de campañas relacionadas con SMS premium, el malware esperará a recibir el mensaje de confirmación y posteriormente ejecutará el código JavaScript correspondiente para completar la suscripción. Los servicios premium a los que es suscrito el usuario tienen un coste medio de unos 6,71 euros a la semana. Antes de suscribir al usuario a un servicio premium, este malware comprueba el país del usuario a través del código de país del número de teléfono de la víctima.
Además de la funcionalidad de suscripción a campañas de SMS premium, este malware también incluye la funcionalidad necesaria para enviar la lista completa de contactos y todos los SMS al servidor de control.
