• Categoria: Inteligência de malware
• Região: Global

Sumário executivo

Em 17 de abril de 2023, CloudSEKA equipe de pesquisa de inteligência de ameaças da descobriu um malware recém-surgido, intitulado 'São'. Descobriu-se que o malware estava se comunicando com vários arquivos APK do Android, provavelmente indicando a origem da infecção. Ao escrever este relatório, dois painéis C2 foram encontrados operando nos seguintes IPs:

• 84 [.] 234 [.] 96 [.] 117 [:] 3000/#/login
• 192 [.] 99 [.] 251 [.] 51 [:] 3000/#/login

O WebSocket associado ao IP acima pode ser encontrado na seguinte URL: hxxp [:] //192 [.] 99 [.] 251 [.] 51 [:] 3000/socket [.] io/? eio=3&transport=websocket&sid=h1j-nxwa-lrjna2aacsl

Nota:Curiosamente, observou-se que esse malware também tem recursos de ransomware, pois criptografa os arquivos usando algoritmos AES presentes no diretório raiz e no cartão SD e descarta um arquivo 'readme_now.txt '.

‍

Análise aberta da Web

Depois de analisar o endereço IP (192 [.] 99 [.] 251 [.] 51) do painel C2 usando o Open Web, descobriu-se que o painel estava em comunicação com vários arquivos APK que haviam sido descobertos recentemente.

‍

Enquanto escreviam este relatório, os pesquisadores do CloudSEK observaram vários sites oferecendo versões gratuitas desses aplicativos, enquanto alguns deles já estavam sendo marcados como maliciosos/suspeitos em várias plataformas de sandbox on-line. No momento da redação deste relatório, os aplicativos detectados em algumas dessas plataformas foram adicionados há 3 dias, coincidindo com a data de detecção do painel C2.

‍

Sobre os APKs maliciosos

Uma simples pesquisa no Google sobre os aplicativos forneceu as seguintes descrições sobre eles:

• Cliente Psiphon para Android e Windows: O Psiphon é um software de evasão para plataformas Windows e Mobile que fornece acesso sem censura ao conteúdo da Internet.
• Pedregulhos: Boulders é um jogo em que seu objetivo principal é pegar todo o tesouro de uma mina e sair vivo.
• Currency Pro: O Currency Pro é um conversor de moedas que fornece as taxas de conversão de moeda estrangeira do mundo.

Análise técnica

Após investigação, a equipe de pesquisa do CloudSEK descobriu que os três aplicativos mencionados acima estão utilizando um arquivo de pacote malicioso comum chamado”com.android.callservice“. Esses aplicativos trojanizados estavam sendo usados para distribuir o malware Daam. Embora as amostras analisadas não apresentem nenhum comportamento malicioso, os pacotes específicos que utilizam esse arquivo estão envolvidos em atividades maliciosas, como recuperar o nome de contas do Google, gravar telefone, chamadas VoIP e áudio, obter acesso à câmera, modificar a senha do dispositivo, acessar listas de contatos, capturar capturas de tela, roubar mensagens SMS, capturar favoritos do navegador Chrome, baixar/enviar arquivos, criptografar arquivos utilizando o algoritmo AES, etc.

Para observar:

Durante a análise dinâmica do malware, percebeu-se que o malware, uma vez instalado no dispositivo da vítima, conduzia verificações relacionadas ao ambiente que limitavam sua funcionalidade completa. Essas verificações foram acionadas quando o malware enviou uma solicitação ao servidor de Comando e Controle (C2) usando o protocolo WebSocket, e a solicitação foi configurada com base na configuração do dispositivo da vítima.

‍

Permissões solicitadas pelo malware

Depois de instalados em um dispositivo Android, os aplicativos maliciosos recebem acesso a permissões altamente confidenciais, incluindo RECORD_AUDIO, READ_HISTORY_BOOKMARK, KILL_BACKGROUND_PROCESSES e READ_CALL_LOGS.

‍

Características do malware

Ignorar verificações de segurança

O malware é capaz de contornar as verificações de segurança em várias marcas de dispositivos móveis.

‍

Gravação de áudio e chamadas telefônicas/VoIP

O malware Daam tem a capacidade de gravar todas as chamadas em andamento (telefone e VoIP) no dispositivo da vítima e, posteriormente, transmiti-las ao servidor C2.

‍

O malware também procura determinados IDs de pacotes de aplicativos que fornecem serviços de VoIP, como WhatsApp, Hike, etc., para gravar chamadas de VoIP.

‍

Exfiltração de arquivos

O malware pode percorrer todos os diretórios locais legíveis e é capaz de extrair todos os arquivos do dispositivo da vítima.

‍

Roubando contatos

Além de roubar contatos do dispositivo da vítima, o malware Daam também é capaz de roubar contatos recém-adicionados.

‍

Criptografia de arquivos

O malware foi habilmente criado para utilizar o algoritmo de criptografia AES para criptografar todos os arquivos no dispositivo sem o consentimento do proprietário. Após a criptografia, todos os arquivos criptografados são excluídos do armazenamento local, deixando apenas os arquivos criptografados com um .enc extensão.

‍

Impacto

• As PII expostas podem permitir que outros agentes de ameaças orquestrem esquemas de engenharia social, ataques de phishing e roubo de identidade.
• Se o sistema criptografado contiver dados críticos dos quais não há backup, a vítima não terá outra opção a não ser pagar o resgate.
• Como a reutilização de senhas é uma prática comum, os agentes de ameaças podem aproveitar as credenciais expostas para obter acesso às outras contas dos usuários.
• O malware também pode alterar as senhas do dispositivo, impedindo o acesso dos usuários, junto com os recursos de criptografia.

Mitigação

• Monitore anomalias, em contas e sistemas de usuários, que possam ser indicadores de possíveis aquisições. Isso inclui: chamadas ruidosas, aquecimento ou desaceleração dos dispositivos, problemas de bateria, aplicativos funcionando de forma anormal, notificações incomuns etc.
• Instale um antivírus forte no sistema para detectar assinaturas maliciosas.
• Ative todas as políticas de proteção de privacidade do Google que proíbem e avisam os usuários durante o download de aplicativos maliciosos.
• Procure aplicativos que solicitem permissões desnecessárias para operar.
• Nunca baixe aplicativos de fontes e repositórios desconhecidos, pois há uma grande chance de ofuscações maliciosas.*

*Embora as estatísticas indiquem que sites de terceiros podem hospedar uma porcentagem maior de arquivos maliciosos ou infectados, é importante ter cuidado e pesquisar antes de baixar qualquer aplicativo de uma fonte desconhecida.

Indicadores de compromisso (IOCs)

MD5

49cfc64d9f0355fadc93679a86e92982

99580a341b486a2f8b177f20dc6f782e

ee6aec48e19191ba6efc4c65ff45a88e

‍

SHA-1

67a3def7ad736df94c8c50947f785c0926142b69

bc826967c90acc08f1f70aa018f5d13f31521b92

f3b135555ae731b5499502f3b69724944ab367d5

‍

SHA-256

37d4c5a0ea070fe0a1a2703914bf442b4285658b31d220f974adcf953b041e11

184356d900a545a2d545ab96fa6dd7b46f881a1a80ed134db1c65225e8fa902b

0fdfbf20e59b28181801274ad23b951106c6f7a516eb914efd427b6617630f30

‍

SHA-512

2b82d39be969fd0d92986de1806f011ca2b99f159967d1aee2dfd8f175e1730e57741e91edb5e1244a61bc76bac64260416b16fa95d27aaa2eb259a8cb746496

d2cfbc281fe353b8018cb4e7a861a551f0ebfccb65aa03e964109db8f0caf424eace828f268f01d99d074c89990dc2e7091ba3971c513d781dd4792212463957

0f1fb2554bd05df4c4987f64fc9c22695cb2f0951b1b46202fb0aa24ff5008d14dfd2782e1c508b5534c16c024034d75b72cee2aebeeb4337e0fda69314ee0db

‍

Nomes de arquivos

Boulder.s.apk

Psiphone Android.s.apk

Currency_Pro_v3.6.2.apk

‍

Comando e controle

192,99,251 [.] 51

84,234,96 [.] 117

‍

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^{#Protocolo de semáforo - Wikipedia}

Apêndice

‍