Durante el año 2015 hemos visto como se ha ido descubriendo una serie de familias de adware agresivo en el mundo de Android que las diferentes casas de seguridad han ido catalogando con diferentes nombres de familias. Trend Micro alertó sobre una familia de adware a la que se llamó Ghost Push. Los investigadores de Cheetah Mobile descubrieron el adware de Monkey Test. Desde FireEye tuvimos dos descubrimientos con NGEmobi/Hinynhe y Kemoge. Fortinet alertó de ODPA y por último, CheckPoint informó de BrainTest. Todos con nombres distintos para estas familias de muestras, pero en Eleven Paths hemos podido enlazar todas las familias entre sí para concluir que son el mismo grupo de personas cambiando de estrategias.
La idea es bastante sencilla, utilizando Tacyt hemos podido ir uniendo las piezas del puzzle y localizando las relaciones entre cada familia. Por ejemplo, las muestras de Brain Test utilizan los mismos dominios que las muestras de Kemoge. Entre NGEmobi y Kemoge también hay correlación de dominios, además que las características de los certificados utilizados para firmar las apps tenían características similares y aparecían con un genérico "google".
Prestando más atención a los certificados de NGEmobi/Hinynhe y Ghost Push se puede ver que han sido construidos de forma similar que los utilizados por ODPA que descubrió CheckPoint. Y entre Monkey Test, NGEmobi/Hinynhe y Ghost Push hay una característica muy peculiar con unos certificados que solo tienen una "b".
Al final, todos han ido reutilizando partes comunes de su código o forma de ser desarrollado que denota que son las mismas personas, que incluso llegan a compartir un API Key en una de las apps, tal y como se explica en el informe.
Figura 3: Detalles del certificado marcado como "b" |
Al final, todos han ido reutilizando partes comunes de su código o forma de ser desarrollado que denota que son las mismas personas, que incluso llegan a compartir un API Key en una de las apps, tal y como se explica en el informe.
El informe de investigación con Tacyt
Para poder entender mejor toda la investigación, hemos creado un paper que hemos subido a nuestro canal de SlideShare donde se explica en detalle cómo se puede ir correlando cada singularidad entre cada familia de adware analizada durante este estudio. Aquí está disponible.
Como se puede suponer, con cada eliminación de una familia de adware o malware se acaba con las muestras disponibles, pero por supuesto los creadores siguen libres para intentar un nuevo truco y conseguir éxito en una nueva campaña.
Saludos Malignos!
No hay comentarios:
Publicar un comentario