Golden Cup: el malware espía que aprovecha el Mundial para robar tu información

A lo largo de este año las Fuerzas de Defensa de Israel han sido el objetivo de diferentes campañas de malware espía: familias como “GlanceLove” o “WinkChat” utilizaban técnicas de ingeniería social para sustraer todo tipo de información de los soldados. El pasado 3 de julio, el equipo de ClearSky informaba de una nueva familia de malware para Android dirigida a ciudadanos israelíes.

 

En esta ocasión el malware utiliza la fiebre del Mundial de Rusia para conseguir sus objetivos. La aplicación “Golden Cup“, aparentemente legítima, podía descargarse de Google Play y utilizarse para mostrar en tiempo real los resultados de los partidos. Tras ella se escondía el malware que se descargaba en varias fases con objeto de eludir a los sistemas de seguridad.

Una vez instalada la aplicación se establecía la comunicación con el C&C utilizando el protocolo de transporte MQTT a través del puerto 1883.

Conexión MQTT. Fuente: www.symantec.com

A partir de ahora el malware puede recibir órdenes del servidor de C&C y actualizar el estado del dispositivo.

De forma complementaria se establece una comunicación HTTP, utilizada por el dispositivo para descargar el payload malicioso y para enviar al servidor de C&C la información recopilada. Esto ocurre en dos fases:

Una primera fase en la que se envía información sobre el dispositivo: aplicaciones instaladas, su estado, etc.

Información enviada en la fase 1. Fuente: www.symantec.com

Una segunda fase en la que se descarga otro fichero .dex que implementará varios servicios:

  • ConnManager, para gestionar la conexión con el C&C.
  • ReceiverManager que monitoriza llamadas entrantes e instalaciones de nuevas aplicaciones.
  • TaskManager encargado de gestionar los datos que se van almacenando.
Comandos disponibles en TaskManager. Fuente: www.symantec.com

Como se observa de los comandos que acepta el servicio TaskManager, el virus tiene la capacidad de compartir la ubicación actual, utilizar la cámara y el microfono, además de obtener información sobre los contactos y de otro tipo.

En Koodous podemos encontrar algunas muestras

Otros IOCs:

Nombres de paquete:

  • anew.football.cup.world.com.worldcup
  • com.coder.glancelove
  • com.winkchat

Hash del fichero DEX:

  • afaf446a337bf93301b1d72855ccdd76112595f6e4369d977bea6f9721edf37e

Dominios e IP:

  • goldncup[.]com
  • glancelove[.]com
  • autoandroidup[.]website
  • mobilestoreupdate[.]website
  • updatemobapp[.]website
  • 107[.]175[.]144[.]26
  • 192[.]64[.]114[.]147
Más información:
 
Infrastructure and Samples of Hamas’ Android Malware Targeting Israeli Soldiers
https://www.clearskysec.com/glancelove/

Hamas Uses Fake Facebook Profiles to Target Israeli Soldiers
https://www.idf.il/en/minisites/hamas/hamas-uses-fake-facebook-profiles-to-target-israeli-soldiers/

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *