El troyano DualToy para Windows infecta dispositivos Android e iOS

Se ha descubierto que un troyano para Windows llamado DualToy está instalando aplicaciones maliciosas en dispositivos Android e iOS mediante las conexiones USB que se establecen con equipos infectados.

Investigadores de Palo Alto Networks dijeron que DualToy existe desde enero de 2015. Al principio lo único que hacía era instalar aplicaciones sin permiso y mostrar publicidades en dispositivos Android. Pero, seis meses después, el troyano se transformó y comenzó a atacar dispositivos iOS instalando una AppStore falsa para conseguir los nombres de usuario y contraseñas de iTunes de sus víctimas.

“Cuando DualToy comenzó a expandirse en enero de 2015, sólo podía infectar dispositivos Android… el 7 de junio de 2015 encontramos el primer ejemplar de DualToy que atacaba iOS. Después, en 2016, descubrimos una nueva variante”, escribió el investigador de seguridad Claud Xiao en una descripción técnica del troyano.

Los investigadores indicaron que cuando DualToy infecta un equipo Windows, busca el Puente de Depuración de Android (ADB, Android Debug Bridge) y el software iTunes. Si hace falta, descarga controladores para ambos, con lo que queda listo y a la espera de infectar los dispositivos móviles cuando se conecten.

“Aunque las capacidades de este vector de ataque pueden limitarse con mecanismos adicionales (por ejemplo, habilitando ADB o con la caja de arena de iOS), que reducen el peligro de esta amenaza, DualToy insiste en recordarnos que los atacantes pueden usar las transferencias locales USB contra los dispositivos móviles y que los programas maliciosos pueden esparcirse en diferentes plataformas”, escribió Xiao.

Los investigadores dicen que han encontrado 8.000 ejemplares únicos de esta variante de DualToy y que no están seguros de a cuántos dispositivos móviles ha infectado el programa.

También indicaron que por ahora el riesgo de ataques a iOS es insignificante porque el certificado de Apple App, imprescindible para instalar la App Store falsa de DualToy, ha expirado.

Palo Alto remarca que durante los dos últimos años vio casos similares de programas maliciosos para Windows y Apple que atacan dispositivos móviles durante transferencias locales.

“Este vector de ataque es cada vez más popular entre los atacantes… Wirelurker instaló aplicaciones maliciosas en iPhones liberados. El RCS de HackingTeam transfiere su programa espía desde PCs y Macs infectadas a los dispositivos iOS y teléfonos BlackBerry liberados”, dijo Xiao.

Hasta ahora, DualToy concentra sus ataques en China, pero los investigadores también encontraron infecciones en Estados Unidos, el Reino Unido, Tailandia, España e Irlanda.

Xiao explicó que, para que el troyano infecte un dispositivo iOS, la víctima ya debe haber establecido a la computadora como un equipo de confianza.

Los investigadores no tienen claro cómo el troyano DualToy infecta los equipos con Windows. Pero una vez que ingresa en ellos, descarga de su servidor de administración un archivo llamado adb.exe, que es el Android Debug Bridge estándar para los clientes de Windows. Las variantes más recientes de DualToy descargan un cliente ADB personalizado, tadb.exe, en el equipo de la víctima. El programa también descarga dos instaladores, AppleMobileDeviceSupport64.msi y AppleApplicationSupport64.msi, que son parte del iTunes oficial de Apple para programas Windows.

En los dispositivos Android, DualToy instala ciertas aplicaciones en chino. Los investigadores sospechan que desarrolladores de juegos pagan a los atacantes por cada instalación. En los dispositivos iOS, DualToy instala una aplicación falsa que se hace pasar por la tienda de aplicaciones oficial de Apple, la iOS App Store, para engañar a los usuarios y convencerlos de que revelen sus nombres de usuario y contraseñas de iTunes.

No es la primera vez que se usa una tienda de aplicaciones falsa en un ataque cibernético. “La aplicación es otra App Store falsa, similar a ZergHelper. Y se comporta de la misma manera que AceDeceiver. Cuando se ejecuta por primera vez, la aplicación pide al usuario que ingrese su Apple ID y contraseña”, explicó Xiao.

Fuentes: Threatpost