Los investigadores de Symantec han descubierto una aplicación maliciosa llamada MobonoGram 2019 (detectada como Android.Fakeyouwon ) que se anuncia a sí misma como una versión no oficial de la aplicación de mensajería Telegram y afirma ofrecer incluso más funciones que la versión oficial y otras versiones no oficiales en el mercado. Si bien la aplicación proporciona una funcionalidad de mensajería básica, se descubrió que también estaba ejecutando secretamente algunos servicios en el dispositivo sin el consentimiento del usuario, además de cargar y explorar un sinfín de sitios web maliciosos en segundo plano.
La aplicación estaba disponible para usuarios móviles incluso en regiones que han prohibido Telegram , como Irán y Rusia, y también fue descargada por usuarios de EE. UU. Permitió a los usuarios alternar entre el inglés o el idioma persa (farsi). La aplicación parecía haber utilizado el código abierto de la aplicación legítima de Telegram. Sus desarrolladores parecían haber inyectado su código malicioso en la aplicación antes de publicarlo en la tienda Play.
La aplicación estuvo disponible en Google Play por un tiempo y se descargó más de 100,000 veces antes de que se eliminara de la tienda. Se cree que el desarrollador, RamKal Developers, ha publicado al menos cinco actualizaciones para la aplicación en la Play Store antes de que se retirara
.
Mecanismo de persistencia
Desde el archivo de manifiesto del malware, vieron una clase llamada Autostart (android.support.translations.english.autostart) que implementa un receptor de difusión. Este receptor responde a tres eventos en el dispositivo: cada vez que se inicia, cuando se instala una aplicación o cuando se actualiza una aplicación (BOOT_COMPLETED, PACKAGE_ADDED, PACKAGE_REPLACED, respectivamente).
Cuando la clase receptora de difusión reciba los eventos mencionados, se convocará la clase AddService, luego se iniciarán algunos otros servicios, a saber, AndroidAF, AndroidAL, AndroidPA, AndroidPC, AndroidSH, todos sin el conocimiento del usuario.
Para garantizar que el servicio se ejecute de forma persistente, el desarrollador agregó dos métodos en la clase AddService: En primer lugar, para iniciar el servicio como un servicio en primer plano en la clase AddService. Según Android, un servicio de primer plano rara vez se mata , incluso cuando la memoria es baja.
En segundo lugar, en caso de que se cierre el servicio, el malware activa una alarma que inicializa la clase AddService para que se reinicie 7,200,000 milisegundos, o dos horas, después de que fue destruido. Con tales tácticas, el malware podrá ejecutarse indefinidamente.
Con los servicios en funcionamiento, comienza a acceder a unos pocos servidores designados, que responderán con contenido con formato JSON que consta de tres partes principales: una URL (indicada como Enlace en la respuesta), un agente de usuario (indicado como Agente en la respuesta), y tres códigos JavaScript.
Con la URL dada, el malware intenta acceder y cargar la página. Un agente de usuario fraudulento también se agrega al encabezado de solicitud de la URL para ocultar la fuente de la solicitud. A partir de la investigación, se cree que el agente de usuario generado es al menos semi-aleatorio, ya que no se generan dos agentes de usuario iguales al consultar el mismo servidor.
Se encontró que la URL cambia según la ubicación geográfica de la dirección IP del dispositivo. Por ejemplo, cuando utilizamos una dirección IP originaria de los Estados Unidos, se devolvió un sitio web fraudulento similar a Fakeyouwon. Cuando usamos una dirección IP de Singapur, el servidor respondió con un sitio web de Fakeyouwon, pornografía o juegos. No podemos decir cuántas URL diferentes puede devolver el servidor.
También se vió a la URL haciendo una solicitud a sí misma, causando un bucle infinito de solicitudes al sitio web. Dicha actividad no solo agota la batería del dispositivo, sino que también conduce a una experiencia desagradable para el usuario e incluso puede provocar que el dispositivo se bloquee.
IOC -- > https://www.symantec.com/blogs/threat-intelligence/unofficial-telegram-app-malicious-sites
