News

¡Teléfonos móviles bajo ataque!

Los usuarios de los smartphones de Android más baratos a menudo buscan formas de acelerar sus aparatos, por ejemplo, liberando espacio en la memoria. La gran demanda de programas que agilizan el funcionamiento de los smartphones genera un crecimiento en la oferta, que incluye programas maliciosos. En Google Play, además de las aplicaciones legítimas que cumplen esta función, han aparecido otras que sólo fingen que limpian el sistema.

Ya habíamos visto malware para PCs que infecta dispositivos móviles. Pero este caso funciona al revés: es una aplicación que se ejecuta en un dispositivo móvil (smartphone), diseñada para infectar PCs.

El 22 de enero de 2013, Kaspersky Lab descubrió la siguiente aplicación en Google Play:

Está claro que la aplicación es popular y tiene una buena puntuación:

Tiene una aplicación gemela con una lista de características idéntica, pero con otro nombre:

A los autores no les alcanzó la imaginación para variar la interfaz.

Después de ejecutarse, muestra todos los servicios que están funcionando:

Y, a la vez, los reinicia:

Aquí es donde termina lo “útil” y comienza lo interesante.

Entre las órdenes que la aplicación recibe del cibercriminal, hay una que le permite ejecutar el siguiente código:

Fíjate en el nombre del método – Tools.UsbAutoAttack. Estos son sus detalles:

Según el código el malware descarga tres archivos de la URL que se especifica al principio de la clase. Se descargan los siguientes archivos:


autorun.inf,
folder.ico,
svchosts.exe.

Ahora, debemos descubrir dónde se guardan estos archivos. Esto puede determinarse viendo el método DownloadFile:

Este código indica que los archivos se guardarán en el directorio raíz de la tarjeta SD. Por lo tanto, si el Smartphone está conectado al equipo en el modo de emulación del controlador USB, el sistema ejecutará de forma automática el archivo svchosts.exe.

Ahora sería interesante descubrir qué contiene svchosts.exe. Logramos descargar el archivo del servidor de los cibercriminales. Resulta que svchosts.exe es en realidad Backdoor.MSIL.Ssucl.a

Observamos y detectamos objetos similares desde el primer semestre de 2012. Pero, en aquel entonces, no tenían ninguna conexión con las plataformas móviles.

En general, Backdoor.MSIL.Ssucl.a no es un programa sofisticado. Su única característica interesante es que incluye la biblioteca gratuita NAUDIO (http://naudio.codeplex.com).

Como muestra la imagen de abajo, la biblioteca NAUDIO es la parte más grande de la aplicación.

Abajo, tratamos de descubrir por qué decidieron los cibercriminales utilizar esta estructura.

En primer lugar, veamos el constructor del formulario frmMain:

Como podemos ver, un suceso de recepción de datos “Data Received” hace que se solicite a la función con_DataReceived.

La función tiene capacidades bastante amplias y está diseñada para manipular varios comandos que envía su amo, pero por ahora nos interesa la forma en la que se maneja un comando específico:

En este código se puede ver que el comando RECORD_STR hace que se solicite la función StartRec:

Ahora prestemos atención a BeginMonitoring y BeginRecording.

En el primer caso, se configura la vigilancia del dispositivo predeterminado de grabaciones de audio. Para ello, el valor de la variable recordingDevice se pone a cero.

En el primer caso, se configura la vigilancia del dispositivo predeterminado de grabaciones de audio. Para ello, el valor de la variable recordingDevice se pone a cero.

Cuando el micrófono comienza a detectar sonido, la aplicación escribe los datos del audio en un archivo, usando BeginRecording:

El programa codifica los archivos y los envía a su amo:


Algoritmo de codificación


Subiendo cualquier archivo al FTP del cibercriminal


De aquí se toma la dirección a la que la app debería conectarse

En términos generales, guardar autorun.inf y un archivo PE en un dispositivo flash es una de las formas más poco refinadas de distribuir malware. Pero, al mismo tiempo, hacerlo usando un smartphone y esperar a que el smartphone se conecte a un PC es un método de ataque completamente novedoso. En las versiones actuales de Microsoft Windows, la característica AutoRun está desactivada por defecto para los controladores externos; sin embargo, no todos los usuarios se han cambiado a sistemas operativos más modernos. Quienes usan versiones obsoletas del sistema operativo son quienes están amenazados por este vector de ataque.

Además, la clásica víctima de estos ataques se perfila como dueña de un Smartphone de Android barato que, de vez en cuando, lo conecta a su PC para, por ejemplo, cambiar los archivos de música de su dispositivo. A juzgar por las estadísticas de venta de los smartphones de Android, temo decir que parece que hay muchas víctimas. El ataque sólo necesita un método de distribución más amplio para tener más éxito.

También hay que notar que el autor ha pensado muy bien en su forma de acercarse a los usuarios mediante esta aplicación. La aplicación tiene diversas características. Por ejemplo, además de infectar equipos, la versión de Android del bot puede hacer las siguientes cosas:

  • Enviar mensajes SMS
  • Activar Wi-Fi
  • Recolectar información sobre el equipo
  • Abrir enlaces de forma arbitraria en un navegador
  • Subir todo el contenido de una tarjeta SD.
  • Subir un archivo (o carpeta) arbitrario al servidor del cibercriminal
  • Subir todos los mensajes SMS
  • Eliminar todos los mensajes SMS
  • Subir todos los contactos, fotografías y coordenadas del dispositivo al servidor del cibercriminal

Esta es la primera vez que hemos visto tantas características en una sola aplicación para móviles.

¡Teléfonos móviles bajo ataque!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada