Cómo una aplicación maliciosa ha tenido como objetivo a los aficionados de la FIFA en Qatar


Recientemente se descubrió una aplicación móvil en Facebook, que en apariencia parecía una inocente aplicación de actualizaciones de la Copa Mundial de la FIFA, pero que bajo el agua resultó ser una aplicación maliciosa que permitía a los atacantes extraer información y archivos personales.
Uno de nuestros especialistas en seguridad echó un vistazo más de cerca a la aplicación: ¿cómo funciona y cómo detectar una aplicación maliciosa?
FIFA World Cup 2022 App

Dado que los smartphones se han convertido básicamente en una extensión de nuestra mano, es lógico que las Personas estén siempre buscando aplicaciones diferentes que cubran sus necesidades. Si es aficionado al fútbol y quiere estar al día de la Copa Mundial de la FIFA en Qatar, tener una aplicación para recibir los resultados de los equipos y ver los partidos en directo puede parecer una buena idea.

En un intento de cubrir esa necesidad, surgió una aplicación en Facebook que, a primera vista, parece proporcionar el marcador de los partidos, noticias e incluso la retransmisión en directo de algunos de los encuentros. Sin embargo, hay algo adicional que la aplicación está haciendo en segundo plano, y es infectar el dispositivo móvil y permitir a los atacantes extraer información y archivos personales.

**Aviso legal**: La aplicación se sigue distribuyendo desde las fuentes mencionadas a continuación. El servidor CandC de la aplicación sigue activo. Utilice la información proporcionada en esta página bajo su propia responsabilidad.

La aplicación fue descubierta por primera vez por ESET el 25/11/2022. Podría haber múltiples grupos de Facebook relacionados con ella similares al que se muestra a continuación.

Facebook Group

Este grupo de Facebook y cualquier otro se limitan a redirigir al usuario a la URL *kora442[.]com*, que es la página principal que distribuye la aplicación maliciosa. Esa página web sigue activa durante la redacción de esta entrada del blog y tiene el siguiente aspecto.

Website

A continuación se presentan los detalles de la aplicación.

Detalles del paquete

  • Nombre de la aplicación: Kora 442
  • Nombre del paquete: com.app.projectappkora
  • Código de versión: 1
  • Nombre de la versión: 1.0
  • SDK mínimo: 21
  • SDK objetivo: 21
  • Sha256: 3f19efe7ea5aed42c2876683278a4afffc5a696c5ecb5dec5319ff715a673474
  • Permitir copia de seguridad: false

Tras la instalación se nos presenta una pantalla con todos los permisos que requiere la aplicación:

Request permissions

Si intentamos eliminar alguno de los permisos aparece el siguiente mensaje:

Remove permission

El mensaje informa al usuario de que si se deniega alguno de los permisos, es posible que la app no funcione según lo previsto. Esta es la razón por la que los desarrolladores de la app decidieron utilizar como SDK de destino el de nivel 21. Facilita que los usuarios insospechados acepten todos los permisos a la vez y procedan a partir de ahí.

La siguiente figura muestra cómo aparece la app tras su instalación junto con parte del tráfico que genera:

First views with network

Inicialmente, cuando la aplicación se instaló en un dispositivo virtual, no se observaron indicios de actividad maliciosa. Una investigación más profunda reveló que los desarrolladores eran precavidos y habían implementado varias comprobaciones para evitar que la aplicación se ejecutara en esos casos. El tráfico generado hacia el servidor de comandos y controles (CandC) (firebasecrashanalyticz[.]com), como se ve en la figura anterior, se producía sólo después de eludir estas comprobaciones.

Otras características interesantes que ofrece la aplicación son las siguientes

  • Exfiltración cifrada de archivos/carpetas
  • Grabación de llamadas/sonidos
  • Acceso a la cámara
  • Ejecución de comandos en el shell (comprobación del acceso de superusuario)


Casi inmediatamente después de que el usuario empiece a utilizar la aplicación, en segundo plano un servicio comienza a monitorizar el dispositivo. Por ejemplo, se supervisa el portapapeles y todo lo que se copia se guarda como un archivo temporal en el almacenamiento local de la aplicación, que luego se comprime y protege con contraseña y se sube lentamente al servidor. Los desarrolladores han hecho un buen trabajo manteniéndose sigilosos durante la exfiltración, evitando operaciones paralelas que darían lugar a un consumo excesivo de recursos.

En el momento de escribir esta entrada del blog, la aplicación ya ha conseguido infectar a más de 1000 usuarios. A continuación puede ver un análisis rápido de la zona horaria de los usuarios infectados.

Chart

Casi el 90% de los usuarios tienen la zona horaria de "Asia/Jerusalén", lo que muy probablemente significa que los desarrolladores también se encuentran en la misma zona horaria o que las infecciones están dirigidas a una región.

El número de usuarios infectados seguirá aumentando diariamente hasta que el servidor que aloja la aplicación y la API sean dados de baja.

Consejos a seguir para detectar aplicaciones maliciosas:

  • El primero y quizás el más importante es, sólo descargue aplicaciones verificadas o que tengan un alto volumen de usuarios ( 100K).
  • Compruebe los comentarios que otros usuarios han dejado sobre esa aplicación y preste atención a los que tienen 1/2 estrellas.
  • Si una aplicación le pide una cantidad excesiva de permisos, esté muy alerta al respecto.
  • Esté alerta ante comportamientos inusuales, como anuncios emergentes que antes no le aparecían.
  • Compruebe si hay un uso de datos inusual. Como en el caso de la aplicación que vimos anteriormente, después de que se complete la carga de los archivos deberíamos notarlo en el uso de datos.
  • Y por último, pero no por ello menos importante, considere la posibilidad de utilizar una aplicación de seguridad que le mantenga las defensas altas.


Si tiene alguna pregunta sobre este blog, no dude en Contáctenos.

Contáctenos keyboard_arrow_right
Tags: label mobile application label malware