Una aplicación que se diseñó a sí misma como una versión no oficial de Telegram más rica en funciones se instaló en más de 100.000 desde Google Play solo para proporcionar servicios de mensajería mínimos y promover sitios web maliciosos
Llamada MobonoGram 2019, la aplicación usó el código del legítimo mensajero de Telegram y agregó algunos scripts que se ejecutaron en secreto en el dispositivo infectado para ayudar con la persistencia y con la carga de las URL recibidas desde el servidor de comandos.
En el momento en que los investigadores de seguridad encontraron la aplicación maliciosa, su desarrollador, RamKal Developers, ya había enviado cinco actualizaciones a la tienda oficial de Android.
MobonoGram 2019, disponible en inglés y en farsi, estuvo disponible para los usuarios en regiones que prohibieron el uso de Telegram (por ejemplo, Rusia, Irán) y se iniciaría automáticamente después de iniciar el dispositivo, así como después de instalar o actualizar una aplicación.
No está claro cuánto tiempo permaneció MobonoGram 2019 en Google Play, pero fue posible aumentar esta cantidad de instalaciones redirigiendo a los usuarios desde repositorios de terceros al mercado oficial de Google para dispositivos móviles.
Para asegurar su presencia a largo plazo en el sistema Android, el desarrollador se aseguró de que el servicio malintencionado se ejecutara en primer plano porque hay una menor posibilidad de que el sistema lo mate incluso cuando la memoria RAM es baja.
El desarrollador también se preparó para el escenario en el que se terminó el servicio y agregó un temporizador que cuenta dos horas desde el evento y luego vuelve a aparecer el servicio cancelado.
Una vez que se ejecuta, el malware se pone en contacto con sus servidores de comando para recibir las URL para acceder desde el dispositivo infectado, un agente de usuario del navegador para enmascarar el origen de la solicitud y tres códigos JavaScript.
Sitios servidos en base a la región
Según un informe de hoy de Symantec, toda la información del agente de usuario recibida desde el mismo servidor es diferente. Además, las URL cambian según la ubicación geográfica del dispositivo obtenida de su dirección IP.
Las pruebas demostraron que el servidor respondió con diferentes tipos de sitios web cuando el dispositivo tenía una IP de país diferente. Para un dispositivo en los EE. UU., Los investigadores recibieron un sitio web fraudulento que informaba sobre un falso ganador. Un dispositivo en Singapur consiguió un sitio similar y otros alojaron contenido y juegos para adultos.
Otra observación de los investigadores fue un bucle sin fin hacia el mismo sitio web, ya que se hizo solicitudes a sí mismo. Esto no solo aceleraría el drenaje de la batería sino que también podría provocar que el dispositivo se estrellara.
En cuanto a los tres códigos JavaScript, los analistas de Symantec creen que la intención era cometer fraude de clics e incrementar los ingresos por publicidad.
"Sin embargo, los eventos de clics no se vieron en acción, a pesar de que todos los códigos de JavaScript se cargaron. Sin embargo, no podemos descartar por completo la posibilidad de que el malware se use para el fraude de clics o algún otro fin malicioso". - Symantec
RamKal Developers no es responsable solo de MobonoGram 2019. El mismo desarrollador publicó en otra aplicación de Google Play, llamada Whatsgram, que tenía el mismo comportamiento.
Los datos de telemetría de Symantec entre enero y mayo muestran en su radar 1,235 detecciones relacionadas con esta aplicación maliciosa, detectadas como Android.Fakeyouwon ; la mayoría de ellos se registraron en los Estados Unidos, Irán, India y los Emiratos Árabes Unidos (EAU).
Esta versión particular del malware, sin embargo, se detectó principalmente en Irán, Estados Unidos, Emiratos Árabes Unidos y Alemania.
Fecha actualización el 2021-07-16. Fecha publicación el 2019-07-16. Categoría: telegram Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil