miércoles, noviembre 26, 2014

ShuaBang Botnet: Red de terminales zombies Android creada vía Google Play para Black Hat App Store Optimization

Hace unos días que habíamos pasado el informe a los clientes de los servicios de Vigilancia Digital, pero ayer fue el día que publicamos los detalles de ShuaBang Botnet, una red de terminales Android Zombies que descubrimos hace quince días y que estaba orientada a hacer lo que se denomina BlackASO (BlackHat App Store Optimization), es decir, una especialización del BlackSEO pero orientado al posicionamiento de las apps en los store de Google Play o App Store.  

Figura 1: ShuaBang Botnet en Android

Para conseguir construir esta botnet, el creador había construido más de 300 apps fraudulentas que había publicado en Google Play con distintas cuentas de desarrollador. Estas apps no eran todas maliciosas en sus primeras versiones, pero sí que podrían ser actualizadas en versiones posteriores para no llamar la atención y pasar bajo el radar. Las apps, por supuesto, no eran de gran calidad y ofrecían wallpapers, tutoriales, y similares. Trucos muy habituales por los creadores de adware en el mundo de Google Play.



De todo el conjunto, unas 100 de ellas - que están disponibles en el informe de ShuaBANG Botnet  - también en versión en inglés - que hemos publicado desde Eleven Paths - infectaban a los que las instalaban. Revisando en nuestro Path 5 los permisos de las apps que utilizan para su funcionamiento, vimos que la lista que necesitan son lo siguientes.

Figura 3: Permisos utilizados por las apps maliciosas de esa botnet

Para conseguir su objetivo, desde el panel de control de la botnet, una vez que se conseguía infectar a un equipo, se proveía al dispositivo con una cuenta de Google que había sido creada por el master de la botnet.  Es decir, asociaba el dispositivo con una cuenta de Google que previamente había creado el atacante. Según pudimos averiguar, el creador de este esquema de botnet había sido capaz de crear 12.500 cuentas de Google que iba distribuyendo en las apps de los dispositivos para poder asociar el dispositivo con esa cuenta mediante un proceso de checkin que ejecuta desde el propio terminal infectado.

Figura 4: Esquema de entrega y registro de cuentas Google a los dispositivos infectados

Una vez que tiene una cuenta registrada desde un dispositivo el atacante utiliza los tokens de servicio que devuelve Google para realizar acciones de Click-Fraud - muy habitual en el mundo del fraude online - para posicionar información y realizar diferentes acciones. Con una cuenta Google registrada en un dispositivo Android es posible realizar muchas tareas que afectan al posicionamiento de apps en los markets, tanto de Google Play como otros para hacer BlackASO, pero también en otros sitios de Internet para hacer BlackSEO tradicional desde el dispositivo.

Figura 5: Control de acciones y renovación de tokens en los equipos infectados

El panel de control de la botnet es bastante sencillo y está pensado para ser bastante funcional. Por su aspecto y el código generado ha sido hecho a medida para esta botnet. En el se pueden ver los datos de las cuentas y terminales que controla.

Figura 6: Cuentas en el panel de control de la botnet

Curiosamente, en la base de datos hay un acceso privilegiado para una cuenta de una empresa de publicidad china que cuenta con sus propias credenciales de acceso a los datos desde una dirección muy concreta perteneciente a ellos.

Figura 7: Acceso privilegiado a la base de datos

Una de las cosas que más nos llamó la atención es que el sistema registraba, o intentaba hacerlo, apps utilizando el token de registro del dispositivo a la cuenta. Esto podría haber supuesto - de haber funcionado su sistema - que se hubieran podido forzar la descarga de nuevas apps en el dispositivo remotamente, pero viendo el código que empleaba parece que no lo había conseguido. Eso sí, nos quedó claro que ese era el camino que seguía.
Figura 8: ¿Intento de registro de apps en dispositivos remotos para generar su descarga automática?

Ahora las apps están caídas de Google Play pero el panel de control y muchos terminales infectados están aún disponibles - ninguno en España  por ahora - ya que su objetivo era India, Brasil y Rusia. En el informe publicado tienes los nombres y los hashes de las apps que podrás encontrar probablemente en otros markets.


Figura 9: Presentación de Path 5 - En busca de los cibercriminales

Para los que quieran saber cómo funciona nuestra plataforma de investigación Path 5, os dejo la conferencia del SID 2014 en la que David Barroso lo cuenta con un ejemplo detallado de cómo un analista puede realizar estas investigaciones, que es lo que hicimos nosotros para detectar ShuaBang Botnet. Si quieres más información de Path 5, ponte en contacto con nosotros.

Saludos Malignos!

Entradas populares