Nueva amenaza: Trojan-SMS.AndroidOS.Stealer.a

El escenario de los intentos de infección de dispositivos móviles mediante programas maliciosos está en constante cambio, y en este artículo me gustaría referirme a una nueva tendencia. En el transcurso de los últimos doce meses, Trojan-SMS.AndroidOS.Stealer.a, un troyano diseñado para dispositivos móviles, ha pasado a ocupar posiciones de primer orden por la cantidad de intentos de infección en los dispositivos de los usuarios de productos de Kaspersky Lab, y hasta la fecha no ha dejado el podio de las amenazas activas. Por ejemplo, en el primer trimestre de 2014, fue responsable de casi un cuarto de todos los ataques detectados.

Distribución geográfica

Este troyano SMS ha tenido una amplia propagación en Rusia, y también se han registrado intentos de ataques en Europa y Asia. Este troyano ha infectado equipos prácticamente en todo el mundo:

Hay otro factor, el archivo de configuración, que sugiere que este troyano apunta a usuarios en varios países del mundo. El troyano determina la región en la que se ha lanzado, y modifica el contenido del breve mensaje de texto y el número del destinatario según corresponda. Al momento de escribir este análisis, Trojan-SMS.AndroidOS.Stealer.a se encontraba activo en los siguientes países:

• Bélgica
• Francia
• Lituania
• Letonia
• Rusia
• Ucrania
• Bielorrusia
• Moldavia
• Alemania
• Armenia
• Abjasia
• Azerbaiyán
• Kazajistán
• Kirguistán

Funcionamiento

Trojan-SMS.AndroidOS.Stealer.a no es en absoluto un programa malicioso común. Se propaga camuflado como una aplicación legítima y utiliza varias funciones que son comunes entre los troyanos SMS.

• Stealer puede recibir y procesar los siguientes comandos desde el servidor C&C:
  • server – cambia C&C
  • sms – envia un SMS con datos especificados en el archivo de configuración.
  • delete – elimina los mensajes entrantes que respondan a una máscara, con un intervalo determinado.
  • update – actualiza el troyano.
  • removeAllSmsFilters – elimina los filtros SMS.
  • sendInfo – envía información sobre el teléfono.
  • sendPackagesList – envía una lista de aplicaciones.
  • sendConfig – envía la configuración vigente.
  • uninstall – desinstala una determinada aplicación.
  • notification – muestra un mensaje en el área de notificaciones.
  • inbox_sms_remote_log – activa la intercepción de mensajes.
• El troyano se controla por medio del protocolo HTTP. Se utilizan dos centros C&C distintos: uno le asigna tareas y el otro recibe los resultados.
• Stealer utiliza BASE64 modificado y GZip para cifrar los datos.

El troyano incluye un archivo de configuración cifrado, que es un script JS. Según lo que el archivo contenga, el troyano puede ejecutar las siguientes acciones inmediatamente después de que se carga y ejecuta:

• openUrl – abre una página web (URL).
• getLat, getLng – obtiene las coordenadas geográficas del dispositivo móvil.
• setInboxSmsFilter – activa la máscara de bloqueo de SMS.
• disableInboxSmsFilter – desactiva la máscara de bloqueo SMS.
• doPayment – envía mensajes SMS con un texto y un número especificados en el archivo de configuración.
• installApp – instala una aplicación.
• enableDebug – activa la depuración.
• disableDebug – desactiva la depuración.
• log – permite entradas en el registro del sistema, o logcat.
• minimize – minimiza el troyano dándole la apariencia de la aplicación que usa para propagarse (en modo oculto).
• exit – cierra la aplicación.
• startHider – oculta la aplicación.
• stopHider – restaura la aplicación.
• enableAOS – activa el modo oculto para los mensajes de confirmación.
• addShortcut – añade un acceso directo al troyano en el escritorio del sistema operativo.
• isAirplaneModeOn – verifica si está activado el modo avión.
• isPackageExists – verifica si la aplicación máscara se encuentra en el sistema.
• sS – envía un mensaje SMS al prefijo y número especificados.
• sDS – envía un mensaje SMS después de una demora.

Entonces, los atacantes pueden controlar el comportamiento del troyano modificando su archivo de configuración.

Curiosamente, los desarrolladores del troyano siguen utilizando esta técnica mediante la cual se distribuyen en forma conjunta el troyano Trojan-SMS.AndroidOS.Stealer.a y sus parámetros. La mayoría de los troyanos de este tipo se controlan exclusivamente vía online. Por otra parte, esta técnica permite que Stealer siga funcionando aunque no se tenga conexión a Internet.

Prevemos un notable incremento en la cantidad de intentos de infección por parte de Trojan-SMS.AndroidOS.Stealer.a. Es muy probable que los atacantes reduzcan el archivo de configuración al mínimo posible y lleguen a controlar el troyano vía online, sin interferir con su funcionamiento.