ESPIONAJE PURO Y DURO GRACIAS A MALWARES

Hace una semana, la empresa de seguridad Blue Coat ha revelado un

importante APT (Advanced Persistent Threat, Amenazas Persistentes
Avanzadas) que ha afectado a entidades petroleras, financieras,
embajadas y gobiernos. Gracias al tipo de infección y los idiomas
usados, sabemos que se ha empleado para atacar a países como Rusia,
Rumania, Venezuela, Paraguay, etc. El atacante ha podido recoger datos
confidenciales a través de malware diseñados para la plataforma Windows
y plataformas móviles como Android, IOS, y Blackberry.

El ataque ha sido bautizado por Blue Coat como “The inception
Framework”. Kaspersky en cambio le ha dado el nombre de “Cloud Atlas”,
esta compañía ha destacado su gran parecido con un viejo conocido: Red
October (Octubre Rojo). Realmente el formato de determinados correos de
phishing empleados o de ciertas partes de código es muy semejante a
aquel malware de hace dos años.

Sin embargo en esta ocasión lo que destaca especialmente es el uso de
malware dirigido a dispositivos móviles. Nos han parecido especialmente
interesantes los ataques realizados a plataformas Android, por lo que
vamos a mostrar un análisis más detallado del malware empleado.

Infección

Los atacantes han usado el correo para llegar a sus víctimas. Abajo se
muestra un ejemplo de un correo destinado al gobierno de Paraguay
(“.gov.py”). Al acceder desde un móvil Android sobre el enlace
“http://bit.ly/1v7”, el usuario descargaba la aplicación
“WhatsAppUpdate.apk” que hacía crear al usuario que se trataba de una
actualización para WhatsApp.

http://4.bp.blogspot.com/-Pk0u5kp4B0Q/VJQEWi5_xCI/AAAAAAAAB7A/HiKEyPlksDk/s1600/Inception_Infeccion.png
Análisis del malware

La siguiente imagen muestra la lista de permisos requeridos por la
aplicación. A primera vista, vemos que el atacante está muy interesado
por las comunicaciones de la victima (llamadas y registros de llamadas),
los SMS recibidos, su ubicación, su calendario, su lista de contactos,
los favoritos de su navegador y archivos.

http://2.bp.blogspot.com/-Wfh6IH-Uxi4/VJQEevL3lBI/AAAAAAAAB7I/rgrFNQ8USQU/s1600/Inception_Permisos.png

Según la fechas de los archivos contenidos dentro del malware fue
programado el 13 de octubre 2014 (hace 3 meses que está activo). Además,
la aplicación parece estar desarrollada por indios, por la presencia de
comentarios en hindú. ¿Los indios estarían interesados en la recogida de
información confidencial de países de América Latina?

http://4.bp.blogspot.com/-NiqQOwH-JR4/VJQEo3PsUTI/AAAAAAAAB7Q/ZYI-Ay3UB2o/s1600/Inception_Comentarios_indios.png

Además, el malware tiene un servicio para grabar las conversaciones
durante las llamadas telefónicas:

Iniciar la grabación:
http://4.bp.blogspot.com/-BdzawQog2Bc/VJQEzw4oD7I/AAAAAAAAB7Y/pEznaCre1OI/s1600/Inception_Start_recording_voice.png
Finalizar la grabación:
http://1.bp.blogspot.com/-k4c6hGaLE4o/VJQE3-HnbhI/AAAAAAAAB7g/lpi53054LFg/s1600/Inception_Stop_recording.png
Recoger los comandos y enviar los datos robados

El atacante ha atacado y modificado tres blogs donde ha dispuesto un
“payload” conteniendo el servidor donde recoger los comandos y enviar
los datos robados. Ha infectado los 3 blogs siguientes para diseminar el
payload:
http://klarkvoplige.livejournal.com
http://boberder.livejournal.com
http://lindamenson.livejournal.com

Podemos ver un ejemplo del contenido de un blog con el payload:

http://1.bp.blogspot.com/-WTlMp8sD1Z4/VJQFcZ-B6dI/AAAAAAAAB7o/bycadbUadns/s1600/Inception_Blog.png

El payload contiene una UrlTask (“http:// http://www.zlotelany.
diecezja.bielsko.pl /components / indexxe.php”) y las configuraciones de
un proxy (ProxyData). El malware usa esa URL para recibir nuevas tareas
como por ejemplo las actualizaciones del malware, pero también para
enviar los datos robados (registros de llamadas, etc.). El servidor
proxy detrás del servidor “www.zlotelany.diecezja.bielsko.pl” permite al
atacante esconder el C&C que contiene las actualizaciones del malware,
los datos robados, etc.

Mostramos un ejemplo de payload descifrado con las configuraciones del
proxy contenidas dentro del ProxyData cifrado. Cada vez que la victima
hace una petición al servidor “www.zlotelany.diecezja.bielsko.pl”,
transmite también el ProxyData y la clave correspondiente. Pensamos que
el atacante no ha incluido la configuración del proxy codificada dentro
de la pagina “indexxe.php” para que sea mas difícil identificar el
servidor proxy.

UrlTask: http://www.zlotelany.diecezja.bielsko.pl/components/indexxe.php
ProxyData: 05ItUyVvS/Um6PtAgZhMgQAE0GWQJ97wKaUSrgcYr4B1uYwqm…
ProxyKey: f522b4be764450ee

Cifrado de los datos

Cada vez que el malware roba datos (llamadas, etc.), los cifra antes de
escribirlos en la carpeta personal de la aplicación. Es una manera de
proteger los datos en caso de que se realice un análisis forense. El
atacante usa el algoritmo simétrico AES
“PBEWITHSHA256AND128BITAES-CBC-BC” con la contraseña “hfsdvccnbn,klkufc
czdgr332hgngcbgfgjjmjj,kkl;popi,jlkl…hk,hkj,nfjy,jjjyyjhmmhfjoiligmhgjhkik,jkgmhhfttfbvvczccxzsaaaaqqznmg”
y la semilla “nhnfcfafssbgf,,hlou87766gfdsfdsvd” para inicializar el
algoritmo.

Conclusión

Ese malware avanzado está destinado a grabar las llamadas telefónicas.
El malware fue enviado directamente a empleados del gobierno de
Paraguay, lo que nos sugiere que existe una entidad gubernamental
detrás. Para evitar ser identificado, el atacante usa por lo menos un
proxy para esconderse y así no revelar su existencia, identidad y el C&C
donde guarda los datos robados

Ver informacion original al respecto en Fuente:
http://unaaldia.hispasec.com/2014/12/espionaje-los-paises-de-america-latina.html