Investigadores de ESET han identificado lo que parece ser un ataque watering-hole en un sitio web que ofrece noticias regionales sobre Gilgit-Baltistán, una región en disputa administrada por Pakistán. Cuando se abre en un dispositivo móvil, la versión urdu del sitio web Hunza News ofrece a los lectores la posibilidad de descargar la aplicación Hunza News para Android directamente desde el sitio web, pero la aplicación tiene capacidades de espionaje malicioso. Hemos llamado Kamran a este programa espía hasta ahora desconocido por el nombre de su paquetecom.kamran.hunzanews.Kamran es un nombre de pila común en Pakistán y otras regiones de habla urdu; en farsi, que hablan algunas minorías de Gilgit-Baltistán, significa afortunado o afortunada.

El sitio web de Hunza News tiene versiones en inglés y urdu; la versión inglesa para móviles no ofrece ninguna aplicación para descargar. Sin embargo, la versión urdu para móviles ofrece la descarga del programa espía de Android. Cabe mencionar que las versiones de escritorio en inglés y urdu también ofrecen el programa espía para Android, aunque no es compatible con los sistemas operativos de escritorio. Nos pusimos en contacto con el sitio web en relación con el malware para Android. Sin embargo, antes de la publicación de nuestro blogpost, no recibimos ninguna respuesta.

Puntos clave del informe:

  • El programa espía para Android, al que hemos llamado Kamran, se ha distribuido a través de un posible ataque de filtración en el sitio web Hunza News.
  • El malware se dirige únicamente a usuarios de habla urdu de Gilgit-Baltistán, región administrada por Pakistán.
  • El programa espía Kamran muestra el contenido del sitio web Hunza News y contiene código malicioso personalizado.
  • Nuestra investigación muestra que al menos 20 dispositivos móviles fueron comprometidos.

Al iniciarse, la aplicación maliciosa pide al usuario que le conceda permisos para acceder a diversos datos. Si se acepta, recopila datos sobre contactos, eventos del calendario, registros de llamadas, información de ubicación, archivos del dispositivo, mensajes SMS, imágenes, etc. Como esta aplicación maliciosa nunca se ha ofrecido a través de la tienda Google Play y se descarga de una fuente no identificada denominada Unknown by Google, para instalarla se pide al usuario que active la opción de instalar aplicaciones de fuentes desconocidas.

La aplicación maliciosa apareció en el sitio web en algún momento entre el 7 de enero de 2023 y el 21 de marzo de 2023; el certificado de desarrollador de la aplicación maliciosa se emitió el 10 de enero de 2023. Durante ese periodo, se produjeron protestas en Gilgit-Baltistán por diversos motivos: derechos sobre la tierra, problemas fiscales, cortes prolongados de electricidad y disminución de los suministros de trigo subvencionado. La región, que se muestra en el mapa de la Figura 1, se encuentra bajo el gobierno administrativo de Pakistán y consiste en la parte norte de la región más extensa de Cachemira, que ha sido objeto de disputa entre India y Pakistán desde 1947 y entre India y China desde 1959.

Figure 1 The Gilgit-Baltistan region
Figura 1. Región Gilgit-Baltistán

Panorámica general

Hunza News, probablemente llamado así por el distrito de Hunza o el valle de Hunza, es un periódico en línea que ofrece noticias relacionadas con la región de Gilgit-Baltistán.

La región, con una población de alrededor de 1,5 millones de habitantes, es famosa por la presencia de algunas de las montañas más altas del mundo, albergando cinco de los estimados "ochomiles" (montañas que alcanzan un pico de más de 8.000 metros sobre el nivel del mar), entre las que destaca el K2, por lo que es frecuentemente visitada por turistas internacionales, senderistas y montañeros. Debido a las protestas de la primavera de 2023, y a otras adicionales que tendrán lugar en septiembre de 2023, Estados Unidos y Canadá han emitido advertencias de viaje para esta región, y Alemania sugirió a los turistas que se mantuvieran informados sobre la situación actual.

Gilgit-Baltistán es también una encrucijada importante debido a la autopista del Karakórum, la única carretera motorizada que conecta Pakistán y China, ya que permite a este país facilitar el comercio y el tránsito de energía accediendo al mar Arábigo. La parte pakistaní de la autopista está siendo reconstruida y modernizada; los esfuerzos son financiados tanto por Pakistán como por China. La autopista se ve bloqueada con frecuencia por los daños causados por las condiciones meteorológicas o las protestas.

El sitio web Hunza News ofrece contenidos en dos idiomas: Inglés y urdu. Junto con el inglés, el urdu tiene estatus de lengua nacional en Pakistán, y en Gilgit-Baltistán sirve de lengua común o puente para las comunicaciones interétnicas. El dominio oficial de Hunza News es hunzanews.net, registrado el 22 de mayo de 2017, y ha publicado artículos en línea de forma constante desde entonces, como demuestran los datos de Internet Archive para hunzanews.net.

Antes de 2022, este periódico en línea también utilizaba otro dominio, hunzanews.com, como indican la información sobre la transparencia de la página en la página de Facebook del sitio (véase la figura 2) y los registros de Internet Archive de hunzanews.com, los datos de Internet Archive también muestran que hunzanews.com llevaba publicando noticias desde 2013; por lo tanto, durante unos cinco años, este periódico en línea estuvo publicando artículos a través de dos sitios web: hunzanews.net y hunzanews.com. Esto también significa que este periódico en línea ha estado activo y ganando lectores en línea durante más de 10 años.

Figure 2 Date of HunzaNews Facebook page creation
Fecha de creación de la página de Facebook de HunzaNews con referencia al dominio anterior

En 2015, hunzanews.com comenzó a ofrecer una aplicación legítima para Android, como se muestra en la figura 3, que estaba disponible en la tienda Google Play. Según los datos disponibles, creemos que se lanzaron dos versiones de esta aplicación, ninguna de las cuales contenía ninguna funcionalidad maliciosa. El propósito de estas aplicaciones era presentar el contenido del sitio web a los lectores de una manera fácil de usar.

Figure 3 Web archive hunzanews com
Figure 3. Web archive of hunzanews.com displaying the option to download its official Android app

En la segunda mitad de 2022, el nuevo sitio web hunzanews . net sufrió actualizaciones visuales, incluida la eliminación de la opción de descargar la aplicación para Android desde Google Play. Además, la aplicación oficial fue retirada de la tienda Google Play, probablemente debido a su incompatibilidad con los últimos sistemas operativos Android.

Durante unas semanas, al menos desde diciembre de 2022 hasta el 7 de enero de 2023, el sitio web no ofreció ninguna opción para descargar la aplicación móvil oficial, como se muestra en la Figura 4.

Figure 4 Hunza News redesign no option download app
Figura 4. Hunza News tras el rediseño sin opción de descargar una app

Según los registros de Internet Archive, es evidente que, al menos desde el 21 de marzo de 2023, el sitio web reintrodujo la opción de que los usuarios descargaran una aplicación para Android, accesible a través del botón DESCARGAR APP, como se muestra en la figura 5. No hay datos para el periodo comprendido entre el 7 de enero y el 21 de marzo de 2023, lo que podría ayudarnos a precisar la fecha exacta de la reaparición de la aplicación en el sitio web.

Figure 5 Hunza News website option download app restored
Figura 5. El sitio web de Hunza News con la opción de descargar una aplicación restaurada

Al analizar varias versiones del sitio web, nos encontramos con algo interesante: al ver el sitio web en un navegador de escritorio en cualquiera de las versiones lingüísticas de Hunza News -inglés(hunzanews.net) o urdu(urdu.hunzanews.net)- aparece de forma destacada el botón DESCARGAR APP en la parte superior de la página web. La aplicación descargada es una aplicación nativa de Android que no puede instalarse en una máquina de escritorio y comprometerla.

Sin embargo, en un dispositivo móvil, este botón es visible exclusivamente en la variante en urdu(urdu.hunzanews.net), como se muestra en la figura 6.

Con un alto grado de confianza, podemos afirmar que la aplicación maliciosa está dirigida específicamente a usuarios de habla urdu que acceden al sitio web a través de un dispositivo Android. La aplicación maliciosa está disponible en el sitio web desde el primer trimestre de 2023.

Figure 6 English (left) and Urdu (right) version Hunza News
Figura 6. Versión en inglés (izquierda) y urdu (derecha) de Hunza News en un dispositivo móvil.

Al hacer clic en el botón DESCARGAR APP, se inicia la descarga desde https://hunzanews[.]net/wp-content/uploads/apk/app-release.apk. Como esta aplicación maliciosa nunca se ha ofrecido a través de la tienda Google Play y se descarga desde un sitio de terceros para instalarla, se pide al usuario que active la opción no predeterminada de Android para instalar aplicaciones de fuentes desconocidas.

La aplicación maliciosa, llamada Hunza News, es un spyware previamente desconocido al que hemos llamado Kamran y que se analiza en la sección Kamran más abajo.

ESET Research se puso en contacto con Hunza News en relación con Kamran. Antes de la publicación de nuestro blog no recibimos ningún tipo de respuesta por parte del sitio web.

Victimología

Basándonos en los hallazgos de nuestra investigación, pudimos identificar al menos 22 teléfonos inteligentes comprometidos, cinco de ellos ubicados en Pakistán.

Kamran

Kamran es un spyware para Android no documentado anteriormente que se caracteriza por su composición de código única, distinta de otros spyware conocidos. ESET detecta este spyware como Android/Spy.Kamran.

Sólo hemos identificado una versión de una aplicación maliciosa que contiene Kamran, que es la que se puede descargar desde el sitio web Hunza News. Como se explica en la sección Descripción general, no podemos especificar la fecha exacta en la que la aplicación se publicó en el sitio web de Hunza News. Sin embargo, el certificado de desarrollador asociado (huella SHA-1: DCC1A353A178ABF4F441A5587E15644A388C9D9C), utilizado para firmar la aplicación Android, se emitió el 10 de enero de 2023. Esta fecha proporciona un suelo para la fecha más temprana en que se creó la aplicación maliciosa.

En cambio, las aplicaciones legítimas de Hunza News que antes estaban disponibles en Google Play estaban firmadas con un certificado de desarrollador diferente (huella SHA-1: BC2B7C4DF3B895BE4C7378D056792664FCEEC591). Estas aplicaciones limpias y legítimas no presentan similitudes de código con la aplicación maliciosa identificada.

Al iniciarse, Kamran pide al usuario que conceda permisos para acceder a diversos datos almacenados en el dispositivo de la víctima, como contactos, eventos del calendario, registros de llamadas, información de ubicación, archivos del dispositivo, mensajes SMS e imágenes. También presenta una ventana de interfaz de usuario que ofrece opciones para visitar las cuentas de redes sociales de Hunza News y seleccionar el idioma inglés o urdu para cargar los contenidos de hunzanews.net, como se muestra en la Figura 7.

Figure 7 Malicious app initial interface
Figura 7. Interfaz inicial de la aplicación maliciosa

Si se conceden los permisos mencionados, el programa espía Kamran recopila automáticamente datos confidenciales del usuario, entre ellos

  • Mensajes SMS
  • lista de contactos
  • registros de llamadas
  • eventos del calendario
  • ubicación del dispositivo
  • lista de aplicaciones instaladas
  • mensajes SMS recibidos
  • información del dispositivo
  • imágenes

Curiosamente, Kamran identifica los archivos de imagen accesibles en el dispositivo (como se muestra en la Figura 8), obtiene las rutas de archivo de estas imágenes y almacena estos datos en una base de datos images_db, como se muestra en la Figura 9. Esta base de datos se almacena en el almacenamiento interno del malware. Esta base de datos se guarda en el almacenamiento interno del malware.

Figure 8 Code obtaining image file paths
Figura 8. Código responsable de obtener las rutas de los archivos de imagen
Figure 9 List images exfiltrate
Figura 9. Lista de imágenes a exfiltrar

Todos los tipos de datos, incluidos los archivos de imágenes, se suben a un servidor de mando y control (C&C) codificado. Curiosamente, los operadores optaron por utilizar Firebase, una plataforma web, como servidor de C&C: https://[REDACTED].firebaseio[.]com. El servidor de C&C fue reportado a Google, ya que la plataforma es proporcionada por esta empresa tecnológica.

Es importante señalar que el malware carece de capacidades de control remoto. Como resultado, los datos del usuario se filtran a través de HTTPS al servidor de C&C de Firebase sólo cuando el usuario abre la aplicación; la filtración de datos no puede ejecutarse en segundo plano cuando la aplicación está cerrada. Kamran no tiene ningún mecanismo de seguimiento de los datos que se han filtrado, por lo que envía repetidamente los mismos datos, además de cualquier dato nuevo que cumpla sus criterios de búsqueda, a su C&C.

Conclusión

Kamran es un programa espía para Android, hasta ahora desconocido, dirigido a la población de habla urdu de la región de Gilgit-Baltistán. Nuestra investigación indica que la aplicación maliciosa que contiene Kamran se ha distribuido desde al menos 2023 a través de lo que probablemente sea un ataque a un periódico local llamado Hunza News.

Kamran presenta una base de código única y distinta de la de otros programas espía para Android, lo que impide atribuirlo a cualquier grupo conocido de amenazas persistentes avanzadas (APT).

Esta investigación también demuestra que es importante reiterar la importancia de descargar aplicaciones exclusivamente de fuentes fiables y oficiales.

Para cualquier consulta sobre nuestra investigación publicada en WeLiveSecurity, por favor contáctenos en threatintel@eset.com.
ESET Research ofrece informes privados de inteligencia APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence.

IoCs

Archivos

SHA-1

Package name

Detection

Description

0F0259F288141EDBE4AB2B8032911C69E03817D2

com.kamran.hunzanews

Android/Spy.Kamran.A

Kamran spyware.

Red

IP

Domain

Hosting provider

First seen

Details

34.120.160[.]131

[REDACTED].firebaseio[.]com

Google LLC

2023-07-26

C&C server.

191.101.13[.]235

hunzanews[.]net

Domain.com, LLC

2017-05-22

Distribution website.

Técnicas ATT&CK de MITRE

Esta tabla se ha elaborado utilizando la versión 13 del marco MITRE ATT&CK.

Tactic

ID

Name

Description

Discovery

T1418

Software Discovery

Kamran spyware can obtain a list of installed applications.

T1420

File and Directory Discovery

Kamran spyware can list image files on external storage.

T1426

System Information Discovery

Kamran spyware can extract information about the device, including device model, OS version, and common system information.

Collection

T1533

Data from Local System

Kamran spyware can exfiltrate image files from a device.

T1430

Location Tracking

Kamran spyware tracks device location.

T1636.001

Protected User Data: Calendar Entries

Kamran spyware can extract calendar entries.

T1636.002

Protected User Data: Call Logs

Kamran spyware can extract call logs.

T1636.003

Protected User Data: Contact List

Kamran spyware can extract the device’s contact list.

T1636.004

Protected User Data: SMS Messages

Kamran spyware can extract SMS messages and intercept received SMS.

Command and Control

T1437.001

Application Layer Protocol: Web Protocols

Kamran spyware uses HTTPS to communicate with its C&C server.

T1481.003

Web Service: One-Way Communication

Kamran uses Google’s Firebase server as its C&C server.

Exfiltration

T1646

Exfiltration Over C2 Channel

Kamran spyware exfiltrates data using HTTPS.