La aplicación de Android de China ejecutó un exploit de día 0 en millones de dispositivos

La aplicación de Android de China ejecutó un exploit de día 0 en millones de dispositivos - Codelivly

Las aplicaciones de Android firmadas digitalmente por la tercera empresa de comercio electrónico más grande de China explotaron una vulnerabilidad de día cero que les permitió apoderarse subrepticiamente de millones de dispositivos de usuarios finales para robar datos personales e instalar aplicaciones maliciosas, confirmaron investigadores de la firma de seguridad Lookout.

Las versiones maliciosas de la aplicación Pinduoduo estaban disponibles en mercados de terceros, en los que confían los usuarios de China y otros lugares porque el mercado oficial de Google Play está prohibido o es de difícil acceso. No se encontraron versiones maliciosas en Play o Apple App Store. El lunes pasado, TechCrunch informó que Pinduoduo se eliminó de Play después de que Google descubriera una versión maliciosa de la aplicación disponible en otros lugares. TechCrunch informó que las aplicaciones maliciosas disponibles en mercados de terceros explotaron varias vulnerabilidades de día cero conocidas o explotadas antes de que un proveedor tuviera una solución.

Índice
  1. Ataque sofisticado
  2. Dark Navy y davinci1012 justificados

Ataque sofisticado

El análisis preliminar de Lookout ha revelado que al menos dos compilaciones fuera del juego de Pinduoduo para Android explotan CVE-2023-20963, el número de seguimiento de una vulnerabilidad de Android que Google parchó en actualizaciones que estuvieron disponibles para los usuarios finales hace dos semanas. Esta falla de escalada de privilegios, que se explotó antes de la divulgación de Google, permitió que la aplicación realizara operaciones con privilegios elevados. La aplicación usó estos privilegios para descargar código de un sitio designado por el desarrollador y ejecutarlo en un entorno privilegiado.

Las aplicaciones maliciosas representan "un ataque muy sofisticado para el malware basado en aplicaciones", escribió en un correo electrónico Christoph Hebeisen, uno de los tres investigadores de Lookout que analizaron el archivo. “En los últimos años, los exploits generalmente no se han visto en el contexto de las aplicaciones distribuidas masivamente. Dada la naturaleza altamente intrusiva de este sofisticado malware basado en aplicaciones, esta es una amenaza importante contra la cual los usuarios móviles deben protegerse.

Hebeisen contó con la asistencia de los investigadores de Lookout Eugene Kolodenker y Paul Shunk. El investigador agregó que el análisis de Lookout se había acelerado y que un examen más profundo probablemente encontraría más vulnerabilidades en la aplicación.

Pinduoduo es una aplicación de comercio electrónico para conectar compradores y vendedores. Recientemente se informó que tiene 751,3 millones de usuarios activos mensuales promedio. Aunque sigue siendo más pequeña que sus rivales chinos Alibaba y JD.com, PDD Holdings, la empresa matriz de Pinduoduo que cotiza en bolsa, se ha convertido en la empresa de comercio electrónico de más rápido crecimiento en este país.

Después de que Google eliminó Pinduoduo de Play, los representantes de PDD Holdings negaron las afirmaciones de que cualquiera de sus versiones de la aplicación fuera maliciosa.

"Rechazamos enérgicamente las especulaciones y las acusaciones de que la aplicación Pinduoduo es maliciosa por parte de un investigador anónimo", escribieron en un correo electrónico. "Google Play nos informó en la mañana del 21 de marzo que la aplicación Pinduoduo, entre varias otras aplicaciones, se suspendió temporalmente porque la versión actual no cumple con la política de Google, pero no compartió más detalles. Comuníquese con Google para obtener más información.

Los representantes de la empresa no respondieron a los correos electrónicos que hacían preguntas de seguimiento y divulgaban los resultados del análisis forense de Lookout.

Las sospechas sobre la aplicación Pinduoduo surgieron por primera vez el mes pasado en un publicación (traducción al inglés aquí) de un servicio de investigación que se hace llamar Dark Navy.

La traducción al inglés establece que "los fabricantes de Internet conocidos continuarán investigando nuevas vulnerabilidades relacionadas con Android OEM e implementarán ataques de vulnerabilidad en los principales sistemas de telefonía móvil en el mercado actual en sus aplicaciones lanzadas". La publicación no nombró a la compañía o la aplicación, pero dijo que la aplicación usaba un "conjunto de serialización y deserialización de paquetes feng shui-android". [exploit] esto parece inaudito en los últimos años. El mensaje incluía varios fragmentos de código encontrados en la aplicación supuestamente maliciosa. Una de estas cadenas es "LuciferStrategy".

Fragmento de código que muestra la cadena LuciferStrategy.
Agrandar / Fragmento de código que muestra la cadena LuciferStrategy.Dark Navy

Unas semanas más tarde, alguien con el nombre de usuario davinci1012 publicó una publicación en Github con el nombre traducido "Pinduoduo backdoor". Hizo referencia a la publicación de Dark Navy y proporcionó el código y los pasos que los investigadores podrían seguir para romper las defensas antianalíticas y encontrar un presunto exploit en las aplicaciones de Pinduoduo para Android lanzadas antes del 5 de marzo. Una publicación de seguimiento de Github unos días después incluyó aún más detalles. afirmando mostrar una funcionalidad maliciosa en las aplicaciones de Pinduoduo. Google eliminó la aplicación Pinduoduo de Play unos días después de que se publicara la segunda publicación de davinci1012.

Según la publicación de DarkNavy, la aplicación maliciosa Pinduoduo incluye una función que permite instalar la aplicación en secreto sin posibilidad de desinstalación, inflando erróneamente la cantidad de usuarios activos diarios y mensuales de Pinduoduo, desinstalando aplicaciones de la competencia, robando datos de privacidad del usuario y evadiendo diversas normas de privacidad.

Dark Navy y davinci1012 justificados

El análisis de Lookout se realizó durante un período de dos días, que no es tiempo suficiente para examinar todos los aspectos técnicos relevantes de las dos aplicaciones Pinduoduo de muestra. La descarga de una carga útil de segunda etapa de Internet complica aún más el análisis. Lookout no pudo atribuirlo a PDD Holdings porque este paso no está firmado digitalmente.

No obstante, el análisis parece validar la precisión de la redacción de Dark Navy. Además de determinar la presencia de Android de día cero, también descubrió evidencia de:

  • Adición de widgets a dispositivos infectados
  • Seguimiento de las estadísticas de uso de las aplicaciones instaladas
  • Análisis de notificaciones
  • Acceder a Wi-Fi e información de ubicación

“Estamos lejos de tener una imagen completa y completa de lo que hacen todos (en total hay más de 30 archivos DEX), pero el análisis preliminar parece respaldar esencialmente las afirmaciones”, escribió Hebeisen. “También hay un código que parece compatible con la prevención de desinstalación de aplicaciones. Entonces, por lo que podemos ver, las afirmaciones parecen reflejar lo que está en el archivo.

Hay otras consistencias. Por un lado, la cadena "LuciferStrategy" que aparece en la publicación de Dark Navy aparece en las muestras analizadas por Lookout. Además, la cadena de explotación analizada utiliza EvilParcel, una clase de explotación para vulnerabilidades de escalada de privilegios que ha estado en uso desde 2012. Dark Navy describió el día cero explotado por la aplicación como un "conjunto de serialización y deserialización de paquetes feng shui-android". exploit, una descripción que (permitiendo la traducción) captura con precisión la esencia de EvilParcel.

“Los exploits de EvilParcel son una clase de exploits dirigidos a un conjunto relacionado de vulnerabilidades, de las cuales CVE-2023-20963 es una”, escribió Kolodenker de Lookout. "Estos exploits permiten el uso de una antigua técnica de escalada de privilegios (originalmente de 2012) que se parcheó anteriormente. Sin embargo, este parche ahora se puede eludir con EvilParcel.

  • El código crea un "EvilParcel" dirigido a la clase vulnerable android.os.WorkSource (CVE-2023-20963). Buscar
  • Un paquete de trabajo en progreso que se serializará de manera diferente a como se deserializa en EvilParcel. Contiene una intención que no será visible en la primera deserialización, pero aparecerá en deserializaciones subsiguientes, pasándola de contrabando a LaunchAnywhere. Buscar
  • La aplicación utiliza una actividad de selección de cuenta para desencadenar un ataque LaunchAnywhere. Buscar
  • Cadenas que indican que la aplicación espera poder cargar y ejecutar complementos dinámicamente. Buscar
  • La aplicación puede cargar un archivo "mw1.bin", que es un archivo comprimido que contiene el código de explotación relacionado con "EvilParcel". Buscar

La publicación de Dark Navy se refiere a otro día cero de Android rastreado como CVE-2021-25337 que Google descubrió para ser explotado en los teléfonos Samsung. No hay indicios de que la aplicación maliciosa Pinduoduo haya aprovechado esta vulnerabilidad.

Con pocas dudas de que el código de explotación de día cero aparece en al menos dos muestras de la aplicación Pinduoduo firmadas con la clave oficial, hay algunas conclusiones posibles. El código puede estar presente debido a:

  • Distribución intencional de código malicioso por parte de los desarrolladores de Pinduoduo
  • El trabajo de un infiltrado malicioso
  • Una clave secreta filtrada obtenida por un tercero
  • Un ataque a la cadena de suministro que comprometió el sistema de creación de software para la aplicación Pinduoduo

En estas circunstancias, la eliminación de Pinduoduo de Google Play parece justificada.

Sin evidencia de compilaciones maliciosas en Play o App Store, los usuarios de Pinduoduo que obtuvieron su aplicación de una de estas fuentes no se ven afectados. Los usuarios de Android que obtuvieron su aplicación de un mercado de terceros, como casi todos en China, no tienen tanta suerte. No está claro cuántas descargas de terceros tiene Pinduoduo, pero dado el amplio alcance de la aplicación, el número seguramente es de millones, si no cientos de millones.

Si quieres conocer otros artículos parecidos a La aplicación de Android de China ejecutó un exploit de día 0 en millones de dispositivos puedes visitar la categoría Tutoriales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

Esta página web utiliza cookies para analizar de forma anónima y estadística el uso que haces de la web, mejorar los contenidos y tu experiencia de navegación. Para más información accede a la Política de Cookies . Ver mas