News

El dúo dinámico

Hace algunos días, los usuarios que visitaban sitios web rusos de distribución de programas para smartphones y agendas electrónicas se comenzaron a quejarse de que casi cada nuevo archivo CAB (como archivos de instalación de Windows Mobile) contenía dos archivos ejecutables “extra”. Ambos archivos se habían visto en archivos comprimidos de diferentes programas y juegos.

Como imaginábamos, los archivos eran maliciosos. El primero se instala en el aparato con el nombre srvupdater1.exe, y es un descargador de troyanos que los productos Kaspersky Lab detectan como Trojan-Downloader.WinCE.MobUn.a. El segundo archivo, que se instala como msservice.exe, es un troyano de SMS que detectamos como Trojan-SMS.WinCE.MobUn.a.

Ambos troyanos descargan sus propios parámetros de operación de una URL que tiene el siguiente formato: http://m*******t.ru/index.php?******=param.

Trojan-SMS.WinCE.MobUn trata de conectarse a la URL de arriba y, si logra hacerlo, descarga la siguiente información:

  • param1 = 9;
  • param2 = 1;
  • param3= 1121;
  • param4= 2*************s;
  • param5=.

Los parámetros de arriba significan lo siguiente: param1 es el intervalo de tiempo que transcurre entre los SMS que se envían, param2 es el número de la versión del troyano, param3 es el número al que se envían los mensajes SMS (en este caso, se envían al número 1121; cada mensaje cuesta 3,5 rublos, lo que equivale a poco más de 10 centavos), param4 es el texto que se envía en los mensajes SMS, y param5 es la URL para descargar una nueva versión del troyano.

Cuando escribí esta entrada, param5 seguía vacío.

Trojan-Downloader.WinCE.MobUn descarga los mismos datos desde la misma URL, pero está interesado principalmente en param5. Si este parámetro no está vacío, el troyano descarga la nueva versión de Trojan-SMS.WinCE.MobUn de la URL mencionada en param5. Después elimina la versión antigua del troyano SMS y ejecuta la nueva:

Ya habíamos visto troyanos de SMS que descargan los datos de sus operaciones de un servidor remoto manejado por cibercriminales. En 2008, detectamos programas maliciosos para dispositivos móviles que trataban de descargar nuevos archivos de un servidor remoto (Worm.WinCE.InfoJack fue el primero en hacerlo). Pero un paquete con un Troyano Downloader y un Troyano de SMS representa una nueva etapa en la evolución del malware para teléfonos móviles.

El dúo dinámico

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada