giovedì 24 maggio 2012

False pagine di risultati di ricerche Google in lingua italiana per linkare a fake Market Android (24 maggio)

Come illustrato ieri le pagine di falsi market Android, specialmente su siti .ru, si stanno diffondendo in maniera estesa.
Perche' queste pagine possano pero' essere utili alla distribuzione del malware bisogna che le stesse siano visitate dal maggior numero possibili di utenti Android alla ricerca di applicazioni spesso free e dal nome noto.
Ecco quindi che si utilizzano pagine di redirect che spesso simulano motori di ricerca, come visto ieri, ma con fake layout Google sicuramente molto piu' curato nei dettagli.
Particolarita' odierna e' che il link non e' mirato ad utenti est europei ma parrebbe coinvolgere utenza italiana, cosa poco vista sino ad ora.

Ricercando su Google possiamo infatti trovare questa pagina,


che tra l'altro lasca un attimo perplessi in quanto da una ricerca si viene portati stranamente, su un'altra pagina di ricerca....,  ma che ad una analisi dei contenuti mostra essere un clone ben riuscito.

Gia' un whois presenta 

cosa che non fa certo pensare a possibile sito Google, ma  basta anche vedere che qualunque dei link dei risultati cliccati punta sempre a falso market Android

Questi i link presenti sulla pagina


con source

 
 con 


Per di piu'  variando la parte numerica della url possiamo trovare differenti 'risultati' di ricerca con varie lingue utilizzate.

  ed anche
 

E bene  sottolineare ancora una volta che non sono pagine Google ma falsi ... anche se il layout e' pressoche' uguale a quello reale Google.

In dettaglio, osservando la pagina proposta in lingua italiana, i link visualizzati esistono realmente e sono legittimi ma vengono utilizzati solo per dare maggiore attendibilita' al layout in quanto tutti ed indistintamente puntano al sito di fake market.


 


Il sito di Android Market a cui si viene rediretti con whois (quindi non solo Est Europa)



presenta layout gia' noto e diffuso con  i consueti files  apk

 


ad esempio

 


che VT analizza come

 



Si tratta sempre di codici che propongono falsi install e con invio nascsto di SMS a siti a pagamento.

A conferma della grande diffusione di questi falsi market basta anche interrogare la url corrispondente alla homepage del falso motore di ricerca per ritrovare  il medesimo layout del market fasullo.

 


In definitiva un insieme di pagine fasulle di risultati  di ricerca Google che proponendo anche testo in lingua italiana fanno capire come il 'mercato' del malware Android stia puntando non solamente ai soliti utenti .ru ma cerchi di diffondersi anche al di fuori dei paesi dell'est Europa, Italia compresa.

Edgar

mercoledì 23 maggio 2012

Differenti malware attraverso cloni della medesima applicazione per Android (23 maggio)

Nel recente F-Secure Mobile Threat Report Q1 2012 (PDF scaricabile qui) si nota come Android, vista la grande diffusione di dispositivi sui quali e' installato, dimostri essere al primo posto come bersaglio dei creatori di malware.

Questo il grafico che, anche se denota una leggera flessione a fine 2011, evidenzia come il numero di nuovi malware o varianti degli stessi mostri un incremento annuale del 270%.


Non sorprende quindi che basti una semplice ricerca in rete per trovare svariate versioni di malware per  Android sotto forma di giochi ma anche di applicazioni di altra natura.
Il sistema utilizzato e' comunque quasi sempre quello di creare cloni di software legittimo, preferibilmente non free ma disponibile a pagamento,  al fine di invogliare a scaricare una 'copia' free senza dover pagare per ottenerla.
Naturalmente vengono anche create false applicazioni specialmente di fake install, come abbiamo gia' visto,  di noti players come es. Flash, falsi install di applicazioni di social network o comunicazione come Skype ..ecc....
Inoltre una delle caratteristiche usate e' quella di creare pagine di falsi market Android che ricalcano in tutto o in parte i loghi e layout del noto Google Play

Capita cosi' di trovare on-line tutta una serie di pagine che servono al redirect ai malware Android come ad esempio questa pagina che vuole simulare un layout di motore di ricerca (notare al scritta BING in alto a sinistra)

 


ma che punta con tutti i suoi links a Market Android fasullo ma ben strutturato.


Naturalmente tutte le tecniche utilizzate nella distribuzione 'tradizionale' di malware per PC sono riprese anche in questi casi, come ad esempio il fatto che consultando la pagina del fake search engine attraverso IP Thai si viene rediretti alla pagina in lingua thai di Google (riconoscimento degli IP di provenienza)


 mentre usando un IP in range, ad esempio, IT abbiamo


con ampia scelta di fake software Android.

 Anche l'utilizzo di User Agent per identificare un accesso da dispositivo mobile pare essere usato in maniera estesa per proporre files adeguati  al S.O. in uso, cosa che vedremo in seguito nel post.
Analizziamo adesso invece che il solito 'Angry Bird” questo 'Talking Tom Cat'


anche perche'  proprio da poco e' stato riportato in rete un post Symantec che ha verificato una variante di nuovo malware che sfrutta questo game.

Nel dettaglio una analisi VT del fake game scaricato mostra

con

Considerato che un gioco diffuso e' sempre una buona 'base di partenza' per chi vuole distribuire false applicazioni Android, proviamo a cercare in rete altri cloni di Talking Tom Cat

Come c'era da aspettarsi sono centinaia i files proposti che dovrebbero tutti permettere di giocare su Android con il 'gatto parlante' Tom.

Ecco una lista parziale di cosa si trova in rete


 Si tratta di files scaricati e testati con VT e che hanno dimostrato essere in buona parte malware di vario genere.
Specialmente per quelli di dimensioni ridotte , poche decine di KB, ci vuole poco a capire che del gioco originale portano solo il nome.

Entriamo ora in specifici dettagli relativamente a comportamenti sensibili a User Agent di alcuni di questi siti:

Questo e' uno dei siti rilevati che propongono il file apk Talking Cat Tom


La prima cosa interessante che si vede lanciando l'url su Android in Vbox e' che ci viene proposto un flash player.


Per verificare meglio torniamo ad ambiente Windows e passiamo un “user agent” adeguato (Android)



Quello che otteniamo e' la proposta di un apk flash player similmente a quanto succedeva in Android Vbox.


La pagina flash proposta e tradotta

 

mostra la 'solita' richiesta di aggiornamento del player Flash.
Si tratta di sito che potrebbe comunque essere utilizzato anche al di fuori di questo specifico attacco malware in quanto gia' dalla url ingannevole si capisce come sia in atto un tentativo di proporre il fake aggiornamento del Flash player.
Questa una analisi VT del fake Flash setup:

con

Eseguendo l'applicazione 'Talking Cat Tom' in vbox possiamo osservare le varie  fasi di fake install,


 
 


Proviamo a confrontare questo apk con quello proposto dall'analisi Symantec.

Ecco un dettaglio interrogando da browser il link usato da Symantec dove si puo' notare la proposta di formato APK ma anche JAR (per dispositivi non Android)


Eseguendo in particolare il file APK scaricato dal sito abbiamo una diversa pagina di links proposti al termine della fake installazione:
Questo il primo caso analizzato

 

mentre nel caso Symantec abbiamo pagina simile ma il primo link punta a Google Play con la pagina del reale e free software “Talking Cat Tom”

 Chiaramente chi fosse caduto ne tranello della fake installazione avrebbe a questo punto gia 'pagato' attraverso sms premium, inviato in maniera automatica e nascosta durante il falso setup.
L'installazione del gioco legittimo tramite link a Google Play cambia quindi poco al riguardo delle finalita' di questo genere di malware che sono sempre quelle di invio a numeri di servizi a pagamento di sms.

 Per terminare ecco un altro sito che propone il medesimo software visto prima ma il cui file e' proposto con estensione .jar


Questa una analisi VT:


 con
 


Da notare come anche in questo caso il download del file non avviene dal medesimo IP ma un whois mostra un server USA che distribuisce i files.


Anche nei casi precedenti si era sempre visto che i files .apk sono di solito hostati su diverso IP rispetto al sito che li propone, ed anche nel caso segnalatoda Symantec, avevamo questo link ad apk con url che  mostra la possibilita', variandone la parte numerica,di downloadare differente nome di file e dai diversi contenuti (vedi questo post)


 Anche se al momento i siti che propongono link a questi falsi Market Android e relativi files .apk sono su dominio .ru o comunque in lingua russa, parte dei files visti appaino in torrent, siti che propongono .apk sprotetti ecc... ed e' quindi e possibile che la diffusione di questi contenuti  malware non rimanga limitata all'Est  Europa.
Come conclude anche il post Symantec la cosa migliore e' quindi quella di installare applicazioni al di fuori di Google Play solo se si usano siti attendibili e  controllando  sempre le autorizzazioni richieste dal software.
Di solito i giochi non necessitano di permessi particolari quali ad esempio l'invio o la ricezione di SMS ed, al limite,  si puo' anche evitare di installare l'applicazione, se nella lista delle autorizzazioni richieste ce ne sono alcune non conosciute o comunque che fanno pensare ad una attivita' nascosta del software.

Edgar

sabato 19 maggio 2012

Diffusione di malware Android attraverso fake market. Analisi dei contenuti. (19 maggio)

Sempre presenti in rete numerosi Android Market messi online al solo scopo di diffondere fake Android .apk dii vario genere.

Si tratta di software di giochi ma anche di applicazioni ben note come Skype, Faacebook, ecc.... naturalmente fatte passare per versioni dedicate al sistema operativo Android ma in realta' dai contenuti malevoli.

Ecco uno dei siti attualmente attivi

 

che presenta ampia scelta di software ben noto come ad esempio questo  SKYPE in versione Android


Il download propone un file .apk di dimensioni ridotte

 
 
 che analizzato staticamente attraverso virscan.org (Virus Total era al momento non raggiungibile) mostra


 Estraendo i contenuti del file .apk  otteniamo alcuni ulteriori dettagli:

Per quanto si riferisce al codice presente notiamo che, a differenza del precedente post, non vengono rilevati numeri di telefono di servizi SMS a pagamento nel source .dex ma nel file .db.


Possiamo comunque notare gia' dal file manifest.xml le varie 'autorizzazioni' richieste dal fake Skype tra cui quella sempre presente in questi casi di invio SMS.

 

Possiamo anche rilevare le icone usate dal programma con il noto logo Skype in evidenza

 

Anche se l'applicazione viene riconosciuta abbastanza bene dai softwares AV vediamo ora di eseguire il file in dispositivo virtuale monitorandone i comportamenti attraverso l'utilizzo di  DroidBox.

DroidBoox e' essenzialmente una Android Sandbox Application (in ambiente Linux)  che permette di monitorare i vari eventi che si verificano durante l'esecuzione del file .apk in dispositivo virtuale (nel caso quello fornito dall'SDK Android)
Abbiamo ad esempio il monitoraggio di eventuali SMS inviati, di connessioni alla rete , di scrittura e lettura files , ecc.........

 

Inoltre il fatto di eseguire il file .apk ci fornira' anche dettagli su cosa appare al momento dell'esecuzione del software, su come viene visualizzato il programma tra le icone di Android ecc.............

Ecco quindi che eseguendo il programma abbiamo la comparsa, tra le applicazioni Android, della tipica icona Skype che dovrebbe referenziare un Installer del noto software


Il run mostra poi 

 

Come si nota si tratta di software dedicato anche questa volta ad utenza  di lingua russa.
Cliccando sul pulsante superiore possiamo vedere, dal log generato da DroidBox che viene effettuato un invio di sms a numero si servizio SMS Premium a pagamento: 


Successivamente avviene il caricamento di una pagina da sito di false applicazioni .apk e chiaramente, cliccando sui links, di un ulteriore tentativo di installazione di altre applicazioni probabilmente malware.


Interessante, dal punto di vista della cronologia degli eventi, il diagramma generato da DroidBox che riassume la sequenza temporale di quanto succede lanciando il falso install Skype.
Si puo' notare sia l'iniziale fase di accesso alla rete, l'invio dell'SMS e la successiva connessione ad altro sito …......


Questa invece una rappresentazione grafica, sempre generata da DroidBox, che riassume quanto eseguito dal software apk e che puo' essere utile per notare similitudini tra differenti applicazioni analizzate.


Edgar