Menú de contenidos Cerrar

Noticias

El dúo dinámico

Noticias

lectura de un minuto

Autores

Hace algunos días, los usuarios que visitaban sitios web rusos de distribución de programas para smartphones y agendas electrónicas se comenzaron a quejarse de que casi cada nuevo archivo CAB (como archivos de instalación de Windows Mobile) contenía dos archivos ejecutables “extra”. Ambos archivos se habían visto en archivos comprimidos de diferentes programas y juegos.

Como imaginábamos, los archivos eran maliciosos. El primero se instala en el aparato con el nombre srvupdater1.exe, y es un descargador de troyanos que los productos Kaspersky Lab detectan como Trojan-Downloader.WinCE.MobUn.a. El segundo archivo, que se instala como msservice.exe, es un troyano de SMS que detectamos como Trojan-SMS.WinCE.MobUn.a.

Ambos troyanos descargan sus propios parámetros de operación de una URL que tiene el siguiente formato: http://m*******t.ru/index.php?******=param.

Trojan-SMS.WinCE.MobUn trata de conectarse a la URL de arriba y, si logra hacerlo, descarga la siguiente información:

  • param1 = 9;
  • param2 = 1;
  • param3= 1121;
  • param4= 2*************s;
  • param5=.

Los parámetros de arriba significan lo siguiente: param1 es el intervalo de tiempo que transcurre entre los SMS que se envían, param2 es el número de la versión del troyano, param3 es el número al que se envían los mensajes SMS (en este caso, se envían al número 1121; cada mensaje cuesta 3,5 rublos, lo que equivale a poco más de 10 centavos), param4 es el texto que se envía en los mensajes SMS, y param5 es la URL para descargar una nueva versión del troyano.

Cuando escribí esta entrada, param5 seguía vacío.

Trojan-Downloader.WinCE.MobUn descarga los mismos datos desde la misma URL, pero está interesado principalmente en param5. Si este parámetro no está vacío, el troyano descarga la nueva versión de Trojan-SMS.WinCE.MobUn de la URL mencionada en param5. Después elimina la versión antigua del troyano SMS y ejecuta la nueva:

Ya habíamos visto troyanos de SMS que descargan los datos de sus operaciones de un servidor remoto manejado por cibercriminales. En 2008, detectamos programas maliciosos para dispositivos móviles que trataban de descargar nuevos archivos de un servidor remoto (Worm.WinCE.InfoJack fue el primero en hacerlo). Pero un paquete con un Troyano Downloader y un Troyano de SMS representa una nueva etapa en la evolución del malware para teléfonos móviles.

Autores

El dúo dinámico

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

De los mismos autores

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada

En la misma categoría

    • Últimas publicaciones
    Informes

    MosaicRegressor: acechando en las sombras de UEFI

    Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

    Dark Tequila Añejo

    Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada

    Amenazas

    Amenazas

    Categorías

    Categorías

    Otros sitios

    © 2024 AO Kaspersky Lab. Todos los derechos reservados.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada