Golden Cup: el malware espía que aprovecha el Mundial para robar tu información
Una vez instalada la aplicación se establecía la comunicación con el C&C utilizando el protocolo de transporte MQTT a través del puerto 1883.
Conexión MQTT. Fuente: www.symantec.com |
A partir de ahora el malware puede recibir órdenes del servidor de C&C y actualizar el estado del dispositivo.
De forma complementaria se establece una comunicación HTTP, utilizada por el dispositivo para descargar el payload malicioso y para enviar al servidor de C&C la información recopilada. Esto ocurre en dos fases:
Una primera fase en la que se envía información sobre el dispositivo: aplicaciones instaladas, su estado, etc.
Información enviada en la fase 1. Fuente: www.symantec.com |
Una segunda fase en la que se descarga otro fichero .dex que implementará varios servicios:
- ConnManager, para gestionar la conexión con el C&C.
- ReceiverManager que monitoriza llamadas entrantes e instalaciones de nuevas aplicaciones.
- TaskManager encargado de gestionar los datos que se van almacenando.
Comandos disponibles en TaskManager. Fuente: www.symantec.com |
Como se observa de los comandos que acepta el servicio TaskManager, el virus tiene la capacidad de compartir la ubicación actual, utilizar la cámara y el microfono, además de obtener información sobre los contactos y de otro tipo.
En Koodous podemos encontrar algunas muestras
- https://koodous.com/apks/166f3a863bb2b66bda9c76dccf9529d5237f6394721f46635b053870eb2fcc5a
- https://koodous.com/apks/b45defca452a640b303288131eb64c485f442aae0682a3c56489d24d59439b47
- https://koodous.com/apks/d9601735d674a9e55546fde0bffde235bc5f2546504b31799d874e8c31d5b6e9
- https://koodous.com/apks/2ce54d93510126fca83031f9521e40cd8460ae564d3d927e17bd63fb4cb20edc
- https://koodous.com/apks/67b1a1e7b505ac510322b9d4f4fc1e8a569d6d644582b588faccfeeaa4922cb7
- https://koodous.com/apks/1664cb343ee830fa94725fed143b119f7e2351307ed0ce04724b23469b9002f2
Otros IOCs:
Nombres de paquete:
- anew.football.cup.world.com.worldcup
- com.coder.glancelove
- com.winkchat
Hash del fichero DEX:
- afaf446a337bf93301b1d72855ccdd76112595f6e4369d977bea6f9721edf37e
Dominios e IP:
- goldncup[.]com
- glancelove[.]com
- autoandroidup[.]website
- mobilestoreupdate[.]website
- updatemobapp[.]website
- 107[.]175[.]144[.]26
- 192[.]64[.]114[.]147
https://www.clearskysec.com/glancelove/
Hamas Uses Fake Facebook Profiles to Target Israeli Soldiers
https://www.idf.il/en/minisites/hamas/hamas-uses-fake-facebook-profiles-to-target-israeli-soldiers/
Powered by WPeMatico