Dark Herring – el malware que infectó más de 100 millones de dispositivos Android
Casi 500 aplicaciones maliciosas que acechaban en Google Play Store instalaron con éxito el malware Dark Herring. Dark Herring es un efectivo malware destinado a agregar cargos furtivos a las facturas de los operadores móviles. El malware ha infectado más de 100 millones de dispositivos Android en todo el mundo.
¡Eso es un buen número de víctimas!
El malware Dark Herring fue descubierto por un equipo de investigación de Zimperium. El equipo estimó la cantidad total que la campaña ha podido robar en cientos de millones, en incrementos de $15 por mes por víctima. Desde entonces, Google eliminó las 470 aplicaciones maliciosas de la Play Store, y la firma dijo que los servicios de estafa están inactivos. Sin embargo, cualquier usuario con una de las aplicaciones ya instaladas aún podría ser víctima activa en el futuro. Las aplicaciones también están disponibles en tiendas de aplicaciones de terceros.
Los consumidores de todo el mundo, particularmente en áreas con pocos servicios bancarios, confían en la facturación directa del operador (DCB). Este es un método de pago móvil, que agrega cargos por servicios que no son de telecomunicaciones a la factura telefónica mensual del consumidor. Es decir, es un objetivo jugoso para los adversarios.
Cobros indebidos
En este caso, el cargo erróneo de $15 no es necesariamente suficiente para que un usuario final lo note durante varios meses. Sin embargo, multiplicado en más de 100 millones de cuentas, las ganancias mal habidas se sumaron rápidamente.
“Las estadísticas de descarga revelan que más de 105 millones de dispositivos Android tenían este malware instalado. En otras palabras, existen 105 millones de víctimas de esta campaña a nivel mundial que potencialmente están sufriendo pérdidas financieras incalculables. El grupo de ciberdelincuentes detrás de esta campaña ha creado un flujo de efectivo estable de fondos ilícitos de estas víctimas. Ellos han generado millones en ingresos recurrentes cada mes, con un monto total robado potencialmente de cientos de millones”.
Informe de Zimperium
La campaña se detectó por primera vez en marzo de 2020 y funcionó activamente hasta noviembre pasado, según el informe.
Los analistas de Zimperium que identificaron a Dark Herring dijeron que es probable que el malware sea obra de un nuevo grupo, que utiliza técnicas e infraestructura novedosas.
El éxito de Dark Herring
El éxito de Dark Herring fue el resultado de una combinación de tácticas inteligentes, dijeron los analistas. Por ejemplo, el uso de la orientación geográfica para entregar la aplicación en el idioma nativo de la víctima.
Este truco de ingeniería social es excepcionalmente exitoso y efectivo. Esto es así porque los usuarios generalmente se sienten más cómodos compartiendo información en un sitio web en su idioma local. La campaña es excepcionalmente versátil y se dirige a usuarios móviles de más de 70 países al cambiar el idioma de la aplicación. Asimismo, muestra el contenido de acuerdo con la dirección IP del usuario actual.
El grupo detrás de Dark Herring también logró presentar 470 aplicaciones de alta calidad que pasaron la prueba oficial de la tienda de aplicaciones. Esto demuestra que se trata de una operación sofisticada. Todas las aplicaciones funcionaron como se anunciaron y se distribuyeron en una amplia gama de categorías.
Producir una gran cantidad de aplicaciones maliciosas y enviarlas a las tiendas de aplicaciones apunta a un esfuerzo extenso y concertado por parte de un grupo bien organizado. Estas aplicaciones no son solo clones entre sí o de otras aplicaciones, sino que se producen de forma única a un ritmo elevado. El objetivo es engañar a los conjuntos de herramientas de seguridad tradicionales y a las posibles víctimas.
Alcance mundial de Dark Herring
Además de una infraestructura robusta, la campaña de Dark Herring utiliza servidores proxy como URL de primera etapa para ayudar a evitar la detección. Además, gracias a las capacidades de orientación geográfica, pudo reducir la búsqueda de las víctimas más importantes.
Por ejemplo, los atacantes tendían a centrarse en los usuarios de países con protecciones al consumidor menos estrictas para los usuarios de telecomunicaciones. Entre estos países destacan Egipto, Finlandia, India, Pakistán y Suecia, etc.
Debido a la naturaleza de DCB, algunos países podrían haber sido atacados con menos éxito que otros debido a las protecciones al consumidor establecidas por las empresas de telecomunicaciones.
Funcionamiento de las aplicaciones
En el aspecto técnico, una vez que la aplicación de Android está instalada y abierta, se carga una URL de primera etapa en un webview, que está alojada en Cloudfront. Luego, el malware envía una solicitud GET inicial a esa URL, que devuelve una respuesta que contiene enlaces a archivos JavaScript alojados en instancias en la nube de Amazon Web Services.
Después, la aplicación obtiene estos recursos, que necesita para continuar con el proceso de infección y, específicamente, para habilitar la orientación geográfica.
Uno de los archivos JavaScript le indica a la aplicación que obtenga un identificador único para el dispositivo. Este lo obtiene al realizar una solicitud POST al punto final de la API “live/keylookup
” y luego construir una URL de etapa final. La variable baseurl
se usa para realizar una solicitud POST que contiene identificadores únicos creados por la aplicación, para identificar el dispositivo, el idioma y el país.
La respuesta de esa URL de etapa final contiene la configuración que utilizará la aplicación para dictar su comportamiento, según los detalles de la víctima. Según esta configuración, se muestra una página web móvil a la víctima, pidiéndole que envíe su número de teléfono para activar la aplicación (y los cargos de DCB). Esta página está personalizada en cuanto al idioma del texto, la bandera que se muestra y el código del país.
Gracias al flujo constante de ingresos, Dark Herring es una operación bien financiada. La evidencia también apunta a una inversión financiera significativa por parte de los ciberdelincuentes en la construcción y el mantenimiento de la infraestructura para mantener esta estafa global operando a un ritmo tan alto.
Dados los claros logros de Dark Herring, parece poco probable que esta sea la última vez que la comunidad de ciberseguridad escuche de este grupo de ciberdelincuencia.