lunes, 13 de octubre de 2014

Selfmite, el gusano que nos descarga apps automáticamente vuelve a atacar en Android


NOTICIA DE ELANDROIDLIBRE.COM

Hace mucho que no os contábamos cómo funciona el malware en profundidad, aunque siendo un campo en el que la falta de noticias suele suponer una buena noticia, casi esa preferible que continuara siendo así. Sin embargo, se acabó la sequía en ese campo, porque una vieja amenaza ha vuelto algo más fuerte si lo comparamos a su estado original (y no, no es en forma de chapa).

Antes de nada, toca conceder los créditos a los que se lo merecen: allá por junio fue cuando el equipo de AdaptiveMobile descubrió esta amenaza y analizó en profundidad su comportamiento, y también han sido ellos los que han descubierto la segunda variante de este gusano. Dicho esto, comenzamos contandote todo lo que envuelve a Selfmite, por qué es tan peligroso y qué podemos hacer para evitarlo.

Selfimite, el gusano. ¿Cómo se distribuye?

La distribución en ambos casos es la misma: llega a las víctimas a través de un SMS enviado por alguno de sus contactos, refiriéndose a ellos por su nombre. Este SMS contiene un enlace acortado que lleva a una dirección web con un archivo .apk que se descarga automáticamente en el dispositivo. En el caso de que se haya instalado con éxito, automáticamente la aplicación empezará a hacer su trabajo, y aquí es donde empezamos a ver las diferencias:

En el caso de que se trate de Selfmite.a, escogerá 20 contactos de nuestra lista para enviarles el mismo mensaje que hemos recibido
En el caso de que hablemos de Selfmite.b, directamente enviará ese SMS a toda nuestra esta lista de contactos de manera periódica

De esta forma, el gusano es capaz de difundirse por todo el mundo de una manera rápida y efectiva, todo ello sin que el infectado se de cuenta. Y parece haber funcionado mucho mejor con la segunda variante, porque ha sido capaz de enviar más de 150.000 mensajes en los 10 últimos días que han infectado (aproximadamente) más de 100 tipos de dispositivos. Pero las cosas no terminan aquí, porque esto es sólo el comienzo.
¿Qué hace con el dispositivo Android?

Una vez se encuentre instalado en el dispositivo Android y haya realizado esa acción de enviar los mensajes SMS, tenemos otras dos posibles rutas que cambian con la variante de la que estemos hablando, y que son las siguientes:


Con Selfmite.a, este ataque es mucho menos intrusivo. Abre una ventana en el navegador que, después de varias redirecciones, descarga una versión modificada de Mobomarket que da directamente beneficios a los desarrolladores de este malware. Es algo peligroso, sí, pero se encuentra mucho menos explotado de lo que podría haber estado desde el principio. Aquí nos preguntamos si Mobo es víctima por la mala imagen que consigue o interesado por esas visitas extra.
Con Selfmite.b, las cosas van mucho más allá: cuenta con un archivo de configuración que descarga automáticamente de Internet, lo cual hace mucho más complicado combatirlo. Y, hasta ahora, tenemos como extras a la primera variante la publicidad intensiva de servicios premium y una versión modificada de Google Plus, una estrategia parecida a la que ya pudimos ver con los SMS premium.

En todo caso, podéis ver ejemplos y código explicado en profundidad en el sitio web de AdaptiveMobile, así que os recomiendo entrar a las fuentes si estáis interesados en conocer todos los detalles acerca del gusano.
¿Cuáles son las partes afectadas? ¿Cómo sé si estoy infectado?

En todo caso, los países que más están sufriendo este ataque son los siguientes:

Canadá
China
Costa Rica
Estados Unidos
Ghana
India
Iraq
Jamaica
Mexico
Marruecos
Puerto Rico
Rusia
Sudán
Siria
Venezuela
Vietnam

En todo caso, los signos de infección son bastante claros: facturas infladas a costa de SMS, comportamiento sospechoso en nuestro dispositivo, tener ese mensaje recibido… en el primer caso debería bastar con eliminar la aplicación que ha causado todo esto y con eliminar el Mobogenie tocado, mientras que en el segundo caso un reseteo de fábrica se convierte en casi obligatorio para librarse por completo del problema.

Y en cualquier caso, ya sabéis lo que tenemos que hacer para evitar sustos: solo descargar/instalar aplicaciones de fuentes conocidas (Google Play), desconfiar de cualquier enlace sospechoso que lleguemos a recibir, y mirar bien los permisos de las aplicaciones para evitar este tipo de amenazas encubiertas.

|----------|

I have not we told how the malware works in depth, although being a field in which no news usually means good news that almost preferable to continue to be so. However, the drought is over in that area, because an old threat has become somewhat stronger when compared to its original state (and no, not in the form of sheet).

First of all, tap granting credit to those who deserve it: back in June was when the team AdaptiveMobile discovered this threat and thoroughly analyzed their behavior, and have also been the ones who have discovered the second variant of this worm. That said, we started telling all that surrounds Selfmite, why it is so dangerous, and what we can do about it.

Selfimite the worm. How is it distributed?

The distribution in both cases is the same: reaching victims through an SMS sent by one of your contacts, referring to them by name. This SMS contains a shortened link that leads to a web address with an apk file that is automatically downloaded to the device. In the event that has been successfully installed, the application automatically starts doing its job, and this is where we begin to see the differences:

In the case in question of Selfmite.a, will choose 20 of our contacts list to send the same message we have received
If we talk about Selfmite.b directly send the SMS to our entire contact list is periodically

Thus, the worm is able to spread throughout the world in a fast and effective way, all the infected without realizing it. And it seems to have worked much better with the second alternative, because it has been able to send more than 150,000 messages in the last 10 days that have been infected (approximately) more than 100 kinds of devices. But things do not end here, because this is just the beginning.
What makes Android device?

Once you are installed on your Android device and you have made the act of sending SMS messages, there are two other possible routes that change with the variant we're talking about that are:


With Selfmite.a, this attack is much less intrusive. Open a browser window, after several redirects, download a modified version of Mobomarket which directly benefits the developers of this malware. It's dangerous, yes, but is much less exploited than it could have been from the beginning. Here we ask if the Mobo is bad image victim or interested in getting those extra visits.
With Selfmite.b, things go much further: it has a configuration file that automatically downloads from the Internet, which makes it much more difficult fight. And so far, we have as extras to the first variant intensive marketing of premium services and a modified version of Google Plus, a similar strategy to what we could see with premium SMS.

In any case, you can see examples and explained in depth in the AdaptiveMobile website code, so I recommend you go to the source if you are interested in knowing all the details about the worm.
What are the parties involved? How do I know if I am infected?

In any case, countries that are suffering this attack are:

Canada
China
Costa Rica
United States
Ghana
India
Iraq
Jamaica
Mexico
Morocco
Puerto Rico
Russia
Sudan
Syria
Venezuela
Vietnam

In any case, the signs of infection are quite clear: inflated bills coast SMS, suspicious behavior in our system, have received ... that message in the first case should suffice to remove the application that caused all this and remove Mobogenie touched, whereas in the second case a factory reset becomes almost mandatory to completely get rid of the problem.

And anyway, you know what we have to do to avoid shocks: only download / install apps from known sources (Google Play), wary of any suspicious link that we may receive, and look at the permissions of applications well to avoid this kind of veiled threats.

No hay comentarios: