Il metodo più classico ed efficace per attirare gli utenti è far credere che un’applicazione faccia qualcosa di buono. Questo è esattamente ciò che fa Mobile Updater. In effetti, questa applicazione malevola Android si presenta come un’app legittima utilizzata per recuperare l’aggiornamento del sistema mobile e utilizza impropriamente il logo della famigerata compagnia italiana TRE Italia, per ingannare le vittime e darle affidamento. Quando l’utente fa clic sull’icona 3 Mobile Updater, l’app mostra la schermata nella figura, in cui lo invita ad attendere mentre la configurazione del sistema viene aggiornata. In questo modo, l’utente non rimuoverà l’applicazione, sperando in un aggiornamento legittimo mentre il malware inizia a svolgere le sue attività dannose che avvengono dietro le quinte: l’app avvia un servizio che invia periodicamente informazioni e recupera comandi da una postazione Command & Control.
Le attività di questa app dannosa sono numerose e includono la raccolta di informazioni da tutte le app social installate, la possibilità di scattare foto dalla fotocamera e molte altre potenti funzionalità che verranno approfondite nell’analisi.
Nonostante le sue capacità, l’app mostra altre cose più strane. Infatti, decompilando lo “.apk” e ricostruendo il codice sorgente è stato notato che il
il flag DEBUG dell’applicazione è abilitato, quindi molte attività sono registrate sul logcat di Android e sono visibili in modo semplice. Altri punti sospetti sono legati alla presenza della parola “TEST” in molte stringhe e alla leggerezza con cui il codice è scritto (i malintenzionati non usavano alcuna tecnica di offuscamento).
Inoltre, sia nei messaggi di logcat che nel codice, gli autori del malware utilizzano la lingua italiana.
Basic static Analysis
File Name: file.apk MD5 | a287a434a0d40833d3ebf5808950b858 |
SHA-1 | 0068a8e61fe75213738ecf9ad4927cb7a533886b |
SHA-256 | bf20c17881ff3c4b0bf121cc56c6e79d2ce8ecb4c08cc719e5835e6c74f339a0 |
File Size | 1.86 MB |
Icon |
Tuttavia, la vera attività dannosa viene eseguita di nascosto tramite un servizio Android che utilizza periodicamente la connessione Internet. Analizzando il traffico di rete, sembra che il malware contatti il Command and Control (C2C) nell’URL “url.plus” per registrarsi e scaricare nuovi comandi da eseguire.
Infatti, la prima interazione tra il bot e il suo C2C consiste in un HTTP POST nel percorso “/app/pro/req_server_key.php” contenente alcuni dati (probabilmente il corpo contiene un oggetto Java serializzato).
L’output logcat conferma quanto detto in precedenza: il malware invia al server alcune informazioni (un numero di serie e un UID) e attende una risposta del server. La registrazione può essere effettuata attraverso un percorso diverso, come possiamo vedere dalla linea
“INFO10: non req_server_key.php, php è http://url.plus/app/pro/ser.php”,
che sono incorporati nel codice malware.