Hemos descubierto, una vez más, otro modelo de teléfono con malware preinstalado proporcionado por el programa Lifeline Assistance a través de Assurance Wireless de Virgin Mobile. Esta vez, un ANS (American Network Solutions) UL40 con sistema operativo Android 7.1.1.  

Después de que escribiéramos en enero: » los teléfonos financiados por el gobierno de los Estados Unidos vienen preinstalados con malware inamovible «, escuchamos una protesta de los clientes de Malwarebytes. Algunos afirmaron que varios modelos de teléfonos ANS estaban experimentando problemas similares al UMX (Unimax) U683CL . Sin embargo, es muy difícil verificar tales casos sin tener físicamente el dispositivo móvil a mano. Por esta razón, no pude escribir con confianza sobre tales casos públicamente. Afortunadamente, teníamos un cliente de Malwarebytes comprometido a probar su caso. ¡Gracias al patrocinador de Malwarebytes, Rameez H. Anwar, por enviarnos su ANS UL40 para futuras investigaciones! ¡Su experiencia en seguridad cibernética y su persistencia en este caso seguramente ayudarán a otros!

Aclaración de disponibilidad

Para aclarar, no está claro si el teléfono en cuestión, el ANS UL40, está disponible actualmente por Assurance Wireless. Sin embargo, el Manual del usuario de ANS UL40 aparece en la lista (al momento de escribir este artículo) en el sitio web de Assurance Wireless.

Por lo tanto, solo podemos suponer que todavía está disponible para los clientes de Assurance Wireless. En cualquier caso, el ANS UL40 se vendió en algún momento y algunos clientes aún podrían verse afectados.

Tipos de infección

Al igual que el UMX U683CL, el ANS UL40 viene infectado con una aplicación de configuración comprometida y una aplicación de actualización inalámbrica . Aunque esto puede ser cierto, que están no infectadas con las mismas variantes de malware. Las infecciones son similares pero tienen sus propias características de infección únicas. Aquí hay un resumen de las aplicaciones infectadas.

Configuraciones

La aplicación de configuración es exactamente lo que parece: es la aplicación de sistema requerida que se utiliza para controlar todas las configuraciones del dispositivo móvil. Por lo tanto, eliminarlo dejaría el dispositivo inutilizable. Para el caso del ANS UL40, está infectado con Android / Trojan.Downloader.Wotby.SEK.

La prueba de infección se basa en varias similitudes con otras variantes de Downloader Wotby. Aunque la aplicación de configuración infectada está muy ofuscada, pudimos encontrar un código malicioso idéntico. Además, comparte el mismo nombre de receptor: com.sek.y.ac; nombre del servicio: com.sek.y.as ; y nombres de actividad: com.sek.y.st , com.sek.y.st2 y com.sek.y.st3 . Algunas variantes también comparten un archivo de texto que se encuentra en su directorio de activos llamado wiz.txt. Parece ser una lista de «aplicaciones principales» para descargar desde una tienda de aplicaciones de terceros. Aquí hay un fragmento de código del archivo de texto.

Para ser justos, no se activó ninguna actividad maliciosa desde esta aplicación de configuración infectada . Esperábamos ver algún tipo de notificación o ventana emergente del navegador con información del código que se muestra arriba. Lamentablemente, eso nunca sucedió. Pero tampoco pasamos la cantidad de tiempo normal que un usuario típico pasaría en el dispositivo móvil. Tampoco se instaló una tarjeta SIM en el dispositivo, lo que podría afectar el comportamiento del malware. Sin embargo, hay pruebas suficientes de que esta aplicación de configuración tiene la capacidad de descargar aplicaciones de una tienda de aplicaciones de terceros. Esto no esta bien. Por esta razón, la detección se mantiene.

Aunque es inquietante, es importante tener en cuenta que las aplicaciones de la tienda de aplicaciones de terceros parecen estar libres de malware. Esto se verificó mediante la descarga manual de un par de nosotros mismos para su análisis. Eso no quiere decir que las versiones maliciosas no se puedan cargar en una fecha posterior. Tampoco verificamos cada muestra. Sin embargo, creemos que el conjunto de muestras que verificamos es válido para otras aplicaciones en el sitio. En esas circunstancias, incluso si la aplicación de configuración de ANS había descargado una aplicación de la lista, todavía no es tan nefasta como la aplicación de configuración que se ve en el UMX U683CL.

Actualización inalámbrica

  • Nombre del paquete: com.fota.wirelessupdate
  • MD5: 282C8C0F0D089E3CD522B4315C48E201
  • Nombre de la aplicación: WirelessUpdate
  • Detecciones: tres variantes de Android / PUP.Riskware.Autoins.Fota
    • Variantes .INS, .fscbv y .fbcv

WirelessUpdate se clasifica como un instalador automático de software de riesgo de programa potencialmente no deseado (PUP) que tiene la capacidad de instalar aplicaciones automáticamente sin el consentimiento o conocimiento del usuario. También funciona como la fuente principal del dispositivo móvil para actualizar parches de seguridad, actualizaciones del sistema operativo, etc.

Android / PUP.Riskware.Autoins.Fota en particular es conocido por instalar varias variantes de Android / Trojan.HiddenAds, ¡ y de hecho lo hizo! De hecho, ¡instaló automáticamente cuatro variantes diferentes de HiddenAds como se ve a continuación!

  • Nombre del paquete: com.covering.troops.merican
  • MD5: 66C7451E7C87AD5145596012C6E9F9A0
  • Nombre de la aplicación: Merica
  • Detección: Android / Trojan.HiddenAds.MERI
  • Nombre del paquete: com.sstfsk.cleanmaster
  • MD5: 286AB10A7F1DDE7E3A30238D1D61AFF4
  • Nombre de la aplicación: Clean Master
  • Detección: Android / Trojan.HiddenAds.BER
  • Nombre del paquete: com.sffwsa.fdsufds
  • MD5: 4B4E307B32D7BB2FF89812D4264E5214
  • Nombre de la aplicación: belleza
  • Detección: Android / Trojan.HiddenAds.SFFW
  • Nombre del paquete: com.slacken.work.mischie
  • MD5: 0FF11FCB09415F0C542C459182CCA9C6
  • Nombre de la aplicación: Mischi
  • Detección: Android / Trojan.HiddenAds.MIS

Verificación de caída de carga útil

Ahora puede que se pregunte: «¿Cómo verificó cuál de las dos aplicaciones de sistema infectadas preinstaladas está dejando caer las cargas?» El proceso funciona de la siguiente manera. Deshabilita uno de ellos al configurar inicialmente el dispositivo móvil. En los casos UMX y ANS, elegir cuál deshabilitar fue fácil de decidir. Esto se debe a que la desactivación de la aplicación de configuración hace que el teléfono quede inutilizable. Entonces, deshabilitar WirelessUpdate fue la opción obvia en ambos casos. El siguiente paso en el proceso es esperar un par de semanas para ver si sucede algo. Y sí, a veces necesita esperar tanto tiempo para que el malware deje caer las cargas útiles. Si no sucede nada después de un par de semanas, es hora de volver a habilitar la aplicación del sistema infectado nuevamente y comenzar el juego de espera nuevamente.

Usando este proceso, descubrimos que en el caso del UMX U683CL , la aplicación de configuración era la culpable. Para el ANS UL40, después de no ver ninguna carga útil caída durante semanas, volví a habilitar WirelessUpdate. ¡En 24 horas, instaló las cuatro variantes de HiddenAds! Atrapado con las manos en la masa, WirelessUpdate !

El lazo entre UMX y ANS

Con nuestros hallazgos, imaginamos que algunos se preguntan: ¿Es esto una correlación o una coincidencia? Sabemos que tanto los dispositivos móviles UMX como ANS tienen las mismas aplicaciones de sistema infectadas. Sin embargo, las variantes de malware en el modelo U683CL y UL40 son diferentes. Como resultado, inicialmente no pensé que hubiera vínculos entre las dos marcas. Lo resumí como una coincidencia en lugar de una correlación. Eso es hasta que me topé con evidencia que sugiere lo contrario. 

La aplicación de configuración que se encuentra en el ANS UL40 está firmada con un certificado digital con el nombre común de teleepoch. Al buscar teleepoch aparece la empresa TeleEpoch Ltd junto con un enlace a su sitio web. Allí mismo, en la página de inicio de TeleEpoch Ltd, se afirma que Teleepoch registró la marca «UMX» en los Estados Unidos. 

Revisemos. Tenemos una aplicación de configuración que se encuentra en un ANS UL40 con un certificado digital firmado por una empresa que es una marca registrada de UMX. Para el marcador, eso es dos diferentes ajustes aplicaciones con software malicioso dos variantes diferentes en dos teléfonos diferentes fabricantes y modelos que aparecen a todos de vuelta a la corbata Teleepoch Ltd . Además, hasta ahora, las únicas dos marcas que tienen malware preinstalado en la aplicación Configuración a través del programa Lifeline Assistance son ANS y UMX.

Esto me llevó a investigar más sobre la correlación observando casos en nuestro sistema de soporte de otros modelos ANS que podrían haber preinstalado malware. Fue entonces cuando encontré el ANS L51. Para el registro, el L51 fue otro modelo que se jactó de haber preinstalado malware en los comentarios del artículo de UMX en enero. ¡Descubrí que el ANS L51 tenía las mismas variantes de malware exactas que el UMX U683CL! Allí, dentro de los tickets de soporte anteriores, había una prueba de que el ANS L51 estaba infectado con Android / Trojan.Dropper.Agent.UMX y Android / PUP.Riskware.Autoins.Fota.fbcvd. ¡Conduciendo a casa la clasificación de TeleEpoch, UMX y la correlación ANS! 

Soluciones

Tenemos la máxima fe en que ANS encontrará rápidamente una solución a este problema. Al igual que UMX hizo lo que se indica en la sección ACTUALIZACIÓN: 11 de febrero de 2020 de la escritura de enero. Como aspecto positivo , no encontramos que la aplicación de Configuración en el ANS sea tan viciosa como en el UMX. Por lo tanto, la urgencia no es tan severa esta vez.

Mientras tanto, los usuarios frustrados con ANS UL40 pueden detener la reinfección de HiddenAds utilizando este método para desinstalar WirelessUpdate para el usuario actual (detalles en el siguiente enlace):

Instrucciones de eliminación para Adups

Advertencia: asegúrese de leer Restaurar aplicaciones en el dispositivo (sin restablecimiento de fábrica) en el raro caso de que necesite revertir / restaurar la aplicación. Por ejemplo, si desea restaurar WirelessUpdate para verificar si hay actualizaciones importantes del sistema.

Use este / estos comando (s) durante el paso 7 en Desinstalar Adups a través de la línea de comando ADB para eliminar:

adb shell pm uninstall -k –user 0 com.fota.wirelessupdate

El presupuesto no debe ser equivalente a malware

Hay compensaciones al elegir un dispositivo móvil económico. Algunas compensaciones esperadas son el rendimiento, la duración de la batería, el tamaño de almacenamiento, la calidad de la pantalla y la lista de otras cosas para que un dispositivo móvil se ilumine en la billetera. 

Sin embargo, el presupuesto nunca debe significar comprometer la seguridad de uno con malware preinstalado