Nuestros amigos de ESET han publicado una investigación en la que han alertado al equipo de seguridad de Google Play de la existencia de una app, muy instalado por los usuarios, que se ha vuelto maliciosa. Es decir, una Gremlin App & Gremlin Botnet que ha pasado de ser un Gizmo cariñoso y amigable a convertirse en MogWai. En este caso la app se llama iRecorder.
Esta app, que es una herramienta que permite grabar la pantalla de los sistemas operativos Android es muy popular, y tenía una valoración en Google Play de 4.2. Durante mucho tiempo no ha tenido ninguna función maliciosa, pero, como sucede con el negocio de las Gremlin Apps & Gremlin Botnets, alguien ha decidido convertirla en una botnet para espiar a los usuarios.
De todo esto hemos estado hablando mucho tiempo, pero mucho más investigando. De hecho, en el año 2020, en la charla de Gremlin Botnets: El club de los poetas muertos, contamos la investigación que habíamos hecho años atrás sobre este tema. Puedes leer el artículo completo en el blog, y ver la charla que di en RootedCON 2020 o en Hack In The Box CyberWeek 2021.
Figura 3: Gremlin Apps & Gremlin Botnets
Muchos de los detalles qué descubrimos con este estudio los plasmó nuestro compañero en el libro de Malware en Android: Discovering, Reversing & Fonrensics que os recomiendo encarecidamente que leáis. No, que os estudiéis a fondo, si queréis entender todas este mundo del cibrecrimen en forma de apps móviles para Android, que publicó nuestro compañero Miguel Ángel del Moral - que fue uno de los investigadores del equipo que construyo Tacyt junto a Sergio de los Santos - después de haber realizado todas estas investigaciones.
Figura 4: Malware en Android: Discovering, Reversing & Forensics |
En este caso, iRecorder solicitaba acceso a los permisos de acceso al micrófono y al carrete de fotos, así que más que fantástico para poder espiar la vida de las personas por medio de un troyano que lo metía en una botnet.
El bot de malware que se ha incluido en iRecorder está basado en AhMyth Android RAT (Remote Administration Tool), y en el análisis que han hecho los investigadores de ESET se pueden ver las conexiones con el C&C para solicitar los comandos a ejecutar en cada dispositivo.
El mundo de las Gremlin Apps y las Gremlin Botnets es algo con lo que llevamos viviendo más de una década, y por eso, son tan importantes los equipos de seguridad de Google Play & App Store y los procesos de revisión. Que una app lleve siendo buena mucho tiempo no quiera decir que lo vaya a ser siempre, y cualquier día cambia de dueño y....
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
No hay comentarios:
Publicar un comentario