SMApps es un programa malicioso que tiene como objetivo difundir promociones ilegales. Ataca principalmente a los navegadores cambiando la configuración y redirigiendo las consultas de búsqueda de Google a sitios sospechosos. Los posibles métodos de distribución son estándar: Anuncios maliciosos y sitios poco fiables con software pirateado.
Este malware utiliza diferentes evasiones de detección, Anti-análisis, y tácticas de persistencia. Aunque se posiciona principalmente como adware, Puede ofrecer otras aplicaciones similares al adware y registrar las pulsaciones de teclas.
Descripción general de SMApps
SMApps es un malware que se incluye en La designación de adware y secuestradores de navegador. Este malware Principalmente se dirige a alterar la configuración del navegador web, principalmente los que se encuentran en torno a los motores de búsqueda y las páginas de inicio. Después de escribir una consulta de búsqueda en Google.com, una redirección a Bangsearch[.]pro en lugar de los resultados de búsqueda esperados.
Aparte de Bangsearch, SMApps puede promocionar literalmente cualquier otro motor, dependiendo de quién pague. Incluso cuando lanza al usuario a Yahoo o Bing, Los resultados parecen estar alterados y pueden contener contenido dañino. Además, Los sistemas de búsqueda falsos a menudo recopilan datos confidenciales de los usuarios, en mucha mayor medida que los proveedores de búsqueda más habituales.
A primera vista, Puede parecer simplemente molesto, como la mayoría de los virus de adware. Sin embargo, Esto es diferente. Un análisis detallado ha demostrado que las SMApps pueden robar información confidencial del dispositivo de la víctima y redirigir las consultas de búsqueda. Puede capturar pulsaciones de teclas, Recopilar información del proceso, e instalar carga útil adicional (Por lo general, otro adware). La eliminación de esta cosa es complicada independientemente de la ruta de infección porque el malware utiliza varios trucos para evitarlo. He hecho mi análisis de esta amenaza, Encontrar todos los trucos que hace en el sistema infectado: puede verlo a continuación.
Los principales lugares de propagación del virus SMApps son los sitios web que distribuyen software pirateado, y anuncios maliciosos. Las páginas sospechosas con complementos o mods de juegos populares contribuyen a la propagación de este malware. Además, Esta cosa puede extenderse por sí misma, replicar los archivos en unidades USB, Actuar con eficacia como un gusano, así que ten cuidado con lo que conectas a tu puerto USB.
Análisis técnico
No fue difícil de recuperar la muestra de SMApps – Las plataformas de análisis de malware se llenan con sus muestras. Este fue una especie de truco para Roblox, lo que concuerda con lo que he encontrado sobre las formas de difusión. Echemos un vistazo a sus actividades internas e in-system.
Acceso inicial
La etapa de acceso inicial implica que las SMApps utilicen varios métodos para afianzarse en el sistema de destino. En la siguiente etapa, Los atacantes pueden usar Instrumental de administración de Windows para consultar información confidencial del dispositivo de vídeo o comprobar si hay un programa antivirus instalado. Esto actúa como paso de huella digital del sistema y de análisis/evasión de VM:
IWbemServices::ExecQuery - ROOT\cimv2 : SELECT * FROM Win32_VideoController
IWbemServices::ExecQuery - ROOT\SecurityCenter2 : SELECT * FROM AntiVirusProduct
Esto se hace a menudo para detectar máquinas virtuales. También consulta la información de la tabla de firmware y comprueba si se está depurando el proceso actual. Además, Consulta la información del disco para detectar máquinas virtuales. Dificultar el análisis dinámico, El programa puede contener sueño medio y largo (>= 30 seconds and >= 3 minutos respectivamente) y usar bucles evasivos.
Persistencia & Escalada de privilegios
SMApps gana persistencia mediante la creación o modificación de servicios de Windows, Claves de ejecución del Registro, y carpetas de inicio.
Pide que Windows Installer para organizar su posterior ejecución, Ocultar la ventana a través de los argumentos de la línea de comandos.
"C:\Windows\system32\msiexec.exe" /I "C:\Users\
Para obtener más persistencia y privilegios adicionales, Este programa requiere Servicio de informes de errores de Windows. Este truco es bastante popular en estos días, ya que abusa de la capacidad de reiniciar el proceso con los mejores privilegios sin llamar a una ventana UAC.
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 7280 -ip 7280
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3300 -ip 3300
Conexión del servidor de comandos, Instalaciones adicionales
En cuanto a las comunicaciones con C2, Las SMApps utilizan el protocolo FTP y una lista de direcciones predeterminadas a las que conectarse. En mi caso, el 162.250.124.82:21 address era un servidor primario. Sin embargo, La conexión no puede presumir de ningún registro enriquecido – El malware solo envía la información sobre el sistema infectado. Sin embargo, Surgieron cosas más interesantes después de darle a la cosa que se ejecutara en segundo plano.
Como dije anteriormente, Las SMApps pueden: Actúa como un cuentagotas. Dejó caer dos archivos después de la instalación:
IdealWeightOperator.exe
IdealWeightService.exe
Estos dos programas maliciosos son prácticamente lo mismo que SMApps en términos de funcionalidad. Cambian la configuración del navegador además de lo que hace la cosa original, Promoción de sitios cuestionables y generación de anuncios no deseados. A pesar de que estas amenazas no son realmente graves, El hecho de que sea capaz de hacerlo es preocupante.
Cómo eliminar SMApps?
Para eliminar SMApps, Necesita una solución antivirus eficaz. Recomiendo GridinSoft Anti-Malware ya que ayudará a eliminar este malware sin mucho esfuerzo. Los usuarios informan de problemas con la eliminación de este malware con el enfoque manual, Por lo tanto, se requiere una herramienta especializada. El programa GridinSoft también le permitirá restablecer su navegador con dos clics. Esto es especialmente efectivo cuando el navegador ha sido interferido por adware.
