App de ataques DDoS en Google Play como servicio de suscripción a noticias

App que realiza ataques DDoS en Google Play se hacía pasar por servicio de suscripción a noticias

Investigadores de ESET descubrieron una aplicación maliciosa para Android utilizada para lanzar ataques de DDoS. Gracias a que el sitio web de ESET era el objetivo de esos ataques, los investigadores pudieron identificar la aplicación, analizarla e informar a Google, que rápidamente la eliminó de Play Store.

El ataque dirigido al sitio web global de ESET, ocurrió en enero de 2020. Duró siete horas y se llevó adelante utilizando más de 4,000 direcciones IP únicas, las cuales fueron identificadas como maliciosas y bloqueados al momento del ataque.

El análisis mostró que el ataque se llevó a cabo utilizando miles de instancias de la aplicación “Updates for Android”, que en ese momento estaba disponible en la tienda oficial de aplicaciones para Android. La única funcionalidad maliciosa de la aplicación se basaba en su capacidad para cargar JavaScript desde un servidor controlado por el atacante y ejecutarlo en el dispositivo del usuario. Esto explica por qué la aplicación llegó a Play Store.

La aplicación “Updates for Android” se cargó en la Play Store por primera vez el 9 de septiembre de 2019. La versión original de la app no contaba con la funcionalidad de cargar JavaScript que, en última instancia, era la que permitía llevar a cabo el ataque DDoS. Dicha funcionalidad se agregó en la última actualización de la app realizada dos semanas antes del ataque. La app tuvo más de 50,000 instalaciones, aunque no sabemos cuántas instancias de la aplicación se instalaron después de la actualización o se actualizaron a la versión maliciosa.

Funcionalidad de la app

La funcionalidad anunciada por la aplicación “Updates for Android”, que todavía está disponible en tiendas no oficiales, muestra al usuario un feed de noticias diarias.

Incluso si se descarta la función maliciosa de la aplicación, tanto su nombre como también el nombre de su desarrollador, “System apps”, son engañosos, ya que la app no tiene ninguna relación con ningún sistema o con actualizaciones del sistema.

Para evitar sospechas, la aplicación muestra algunas noticias; sin embargo, su funcionalidad principal es recibir comandos de un sitio web predefinido que funciona como servidor de Comando y Control (C&C). El malware hace ping al C&C cada 150 minutos y proporciona el ID del dispositivo, una medida que permite que cada dispositivo se controle individualmente.


Funcionalidad maliciosa

De acuerdo con los comandos que la aplicación recibe del C&C, puede desplegar anuncios en el navegador predeterminado del usuario (nota: esta funcionalidad se extiende fuera de la aplicación), ocultar su presencia del usuario ocultando el icono de la misma y ejecutar JavaScript, suministrado de forma remota, de manera arbitraria.

La siguiente información proviene del análisis de las muestras utilizadas en el ataque. El malware abrirá un archivo local llamado new_method.html que la aplicación lleva consigo. Su objetivo es cargar JavaScript de manera remota proporcionado por el servidor C&C.

Según el código JavaScript recibido por la aplicación de su C&C, el dispositivo se conecta cada segundo al sitio web apuntado para inundarlo con tráfico.

El ataque DDoS comienza con el dispositivo comprometido que recibe un comando para cargar el script del atacante que especifica el dominio al cual se apunta. Una vez que se carga el script, el dispositivo comienza a realizar solicitudes al dominio apuntado hasta que el servidor de C&C le proporciona otro script que puede contener un dominio de destino diferente.

Desde el inio del monitoreo del sitio web que proporciona la funcionalidad de C&C a la botnet, hubo el envío de otros seis scripts, cada uno con un dominio diferente, para que los dispositivos comprometidos atacaran. Esos sitios eran de noticias y de comercio electrónico, la mayoría de ellos en Turquía. Desde el 2 de febrero, el script está vacío, lo que significa que los atacantes trataron de alimentar a su botnet hasta dos días después de que Google puso fin a la mayor parte de ella.

Fuente: welivesecurity.com

Comments are closed.