NUEVA ACTIVIDAD DEL MALWARE CLICKER

Recientemente se ha detectado una nueva variante del malware Clicker el cual se ha estado distribuyendo a través del playstore y tiene como objetivo a usuarios de dispositivos móviles.

Servicios Afectados

• Sistemas operativos Android

 

Detalles Tecnicos

CVE: ---

Severidad:   MEDIA

Los investigadores de seguridad han descubierto un conjunto de aplicaciones clicker maliciosas que han conseguido publicarse en Google Play, la tienda oficial de aplicaciones para Android.

Las aplicaciones clicker son una categoría especial de adware que carga anuncios en marcos invisibles o en segundo plano y hace clic en ellos para generar ingresos para sus operadores.

El efecto en el dispositivo puede ser una disminución del rendimiento, un sobrecalentamiento, un mayor uso de la batería y un aumento de las tarifas de datos móviles.

Estas aplicaciones han sido retiradas de Google Play después de que un proveedor de seguridad las denunciara.

El más descargado fue DxClean, que se instaló cinco millones de veces antes de ser eliminado. Tuvo una valoración general relativamente positiva por parte de los usuarios de 4,1 sobre 5 estrellas.

DxClean se hace pasar por un limpiador y optimizador del sistema, prometiendo detectar las causas de las ralentizaciones del sistema y detener las molestias de la publicidad mientras realiza exactamente las acciones contrarias en segundo plano.

Tras su lanzamiento, las aplicaciones descargan su configuración desde una ubicación remota a través de una petición HTTP y registran un oyente FCM (Firebase Cloud Messaging) para recibir mensajes push. Estos mensajes contienen instrucciones para los clickers, como qué funciones llamar y qué parámetros utilizar. Cuando se recibe un mensaje FCM y cumple alguna condición, la función latente comienza a trabajar y visita los sitios web que son entregados por el mensaje FCM, los navega sucesivamente en segundo plano mientras imita el comportamiento del usuario.

La función de auto-clic es manejada por el componente 'click[.]cas', mientras que el agente que gestiona los servicios ocultos del adware es 'com[.]liveposting'.

Los expertos de seguridad afirman que el SDK de liveposting también puede funcionar por sí solo, posiblemente para crear solo impresiones de anuncios, pero las versiones recientes de las aplicaciones cuentan con ambas bibliotecas.

La víctima nunca interactúa con los sitios web abiertos y es poco probable que se dé cuenta de los procesos clandestinos que generan beneficios para los operadores remotos.

Para permanecer por debajo del radar del usuario, la operación maliciosa no comienza de inmediato, sino que retrasa su inicio cuando el usuario está utilizando activamente el dispositivo.

Indicadores de Compromiso
Dominio

liveposting[.]net

sideup[.]co[.]kr

msideup[.]co[.]kr

post-blog[.]com

pangclick[.]com

modooalba[.]net

HASH

MD5: 61654370cf4d561e2201e15dafe122ad

SHA256: a84d51b9d7ae675c38e260b293498db071b1dfb08400b4f65ae51bcda94b253e

MD5: b67582292975754f911b7d6c39b9458e

SHA256: 00c0164d787db2ad6ff4eeebbc0752fcd773e7bf016ea74886da3eeceaefcf76

MD5: 5d8aac97ede4d4387b23de68bb349436

SHA256: b675404c7e835febe7c6c703b238fb23d67e9bd0df1af0d6d2ff5ddf35923fb3

MD5: 830c6e769b7c1b745284bb75c40ec61c

SHA256: 82723816760f762b18179f3c500c70f210bbad712b0a6dfbfba8d0d77753db8d

MD5: ade5b6d07da81f572d68748948a83995

SHA256: 65794d45aa5c486029593a2d12580746582b47f0725f2f002f0f9c4fd1faf92c

MD5: 8161ea4e3339ab2cfea1294eb5c25bd2

SHA256: a8a744c6aa9443bd5e00f81a504efad3b76841bbb33c40933c2d72423d5da19c

MD5: ce20a9f480e9c9d85460385239034fee

SHA256: 309db11c2977988a1961f8a8dbfc892cf668d7a4c2b52d45d77862adbb1fd3eb

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

 

Fuente

• Fuente 1: Android adware apps in Google Play downloaded over 20 million times
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com