Investigadores de Kaspersky descubren el malware Android más avanzado

Kaspersky-Lab-Una nueva forma de malware Android ha sido descubierta por los investigadores en Kapersky. No parece una gran noticia en sí, pero este troyano realiza cosas que ninguna otra aplicación maliciosa ha hecho antes.

Hace exploit en múltiples vulnerabilidades, bloquea intentos de desinstalación o ganar acceso root y puede ejecutar comandos remotos. “Backdoor.AndroidOs.Obad.a”, como ha sido nombrado, es el malware Android más sofisticado jamás visto.

Hay dos vulnerabilidades desconocidas que Obad amenaza. El instalador malware contiene un modificado AndroidManifest.xml, el cual es una parte de todas las aplicaciones Android. La primera gran vulnerabilidad está en el procesado de este archivo por el sistema, este no debería ser procesado de todas maneras, pero la aplicación se instala.

Una vez que Obad se encuentra en un dispositivo, este usa el segundo exploit de Android para ganar acceso extendido como Administrador. La función del Administrador Android permite a las aplicaciones leer notificaciones y realizar otras operaciones avanzadas. Cuando este comando es ejecutado, Obad ya no puede ser desinstalado y ya no aparece en la lista de aplicaciones aprobadas por el Administrador.

Cuando esta así de escondido, Obad empieza a probar el sistema, verificar internet y comprobar el acceso root. Este “sorbe” los datos y toma el control de los servers. Aquí os dejamos la lista de comandos funciones descritas por Kapersky:

  • Envía mensaje de texto. Parámetros contiene número y texto. Respuestas son borradas.
  • PING
  • Recibir balance de cuenta vía USSD
  • Actúa como un proxy (envía datos específicos a ciertas direcciones, y comunica la respuesta)
  • Conecta a direcciones específicas (clicker)
  • Descarga un archivo del server y lo instala
  • Envía una lista de aplicaciones instaladas en el smartphone al server.
  • Envía información acerca de una específica aplicación instalada por el server C&C.
  • Envía los datos de contacto del usuario al server.
  • Shell remoto. Ejecuta comandos en la consola, especificado por el cibercriminal.
  • Envía un archivo a todos los dispositivos Bluetooth detectados.

Cuando este llega a un dispositivo nuevo la mayoría del paquete está encriptado y algunos de los componentes más importantes están sin encriptar hasta que gana el acceso a internet. Esto hace que el análisis y la detección sea mucho mas difícil. El troyano no tiene incluso una interfaz y funciona enteramente en segundo plano.

El nivel de sofisticación y de nuevos exploits de este tipo de malware parece más a un virus de Windows que a otros troyanos Android. Backdoor.AndroidOS.Obad.a todavía tiene muy limitado el alcance, pero ya está apareciendo en aplicaciones de tiendas alternativas y webs sospechosas.

Más información – Google anuncia que las aplicaciones de reconocimiento facial para Google Glass no serán aprobadas

Fuente – Android Police


Un comentario

  1.   ♣ Mrx SG →.← dijo

    Da un poco de miedito pero… no se si fiarme, este artículo tiene faltas de ortografía como esos correos que a veces recibimos y son phishing.
    Habiendo como hay hoy en día tan buenos correctores ortográficos, no entiendo por qué no se utilizan.
    Saludos.

Escribe un comentario