Un nuevo malware para Android roba datos de las aplicaciones de mensajería instantánea.

¡Cuidado usuarios de Android! 

Investigadores de la empresa de ciberseguridad Trustlook Labs han identificado un nuevo troyano para el sistema operativo que roba datos de la mayoría de aplicaciones de mensajería instantánea para móviles. La lista de aplicaciones afectadas es la siguiente:

  • Twitter.

  • Skype.

  • Viber.
  • Weibo.
  • Line.
  • Coco.
  • BeeTalk.
  • Tencent.
  • WeChat.
  • Gruveo.
  • Magic Call.
  • Telegram Messenger.
  • Facebook Messenger.
  • Voxer Walkie-Talkie Messenger.
  • TalkBox Voice Messenger Momo.

Según la entrada del blog de los investigadores, el malware puede ocultar de forma efectiva su archivo de configuración y algunos de sus módulos para evitar ser detectado. Los investigadores señalan que aunque parece complejo, tiene capacidades limitadas.

El malware fue descubierto en Cloud Module, una aplicación china, mientras que el paquete que contenía el malware fue identificado como com.android.boxa.

Su tarea principal es recopilar datos confidenciales de usuarios de aplicaciones de mensajería instantánea y clientes de mensajería instantánea. Una vez que el malware infecta correctamente una aplicación, modifica el archivo “/system/etc/install-recovery.sh”. Después de esto, permite que el archivo se ejecute cada vez que se abre la aplicación infectada.

El troyano utiliza métodos de detección antiemuladores y depuradores para evitar el análisis dinámico y ocultar las cadenas. También agrega algunos de sus módulos a su carpeta Assets mientras que todos los módulos están en formato encriptado. En algunos módulos como “sx”, “sy”, “coso”, “dmnso”, el malware utiliza el primer byte del módulo a XOR para desencriptar los datos.

Por ejemplo, el módulo “coso” original en la carpeta Assets se convierte en un módulo ELF después del descifrado. La información sobre el servidor C&C del malware y otras propiedades se almacena en el archivo de configuración. El malware accede a este archivo cada vez que tiene que comunicarse con el atacante y los datos robados se transfieren a un servidor remoto.

Presume de un diseño muy simple y directo con un enfoque de ataque unidireccional. Sin embargo, las técnicas de evasión que adopta son bastante avanzadas, lo que dificulta que el software antivirus las detecte.

Dado el singular objetivo de este troyano Android, que es robar datos, resulta evidente que los controladores del malware necesitan recopilar datos sensibles intercambiados durante conversaciones privadas. Esto puede incluir imágenes y videos también, ya que estos lpueden ser utilizados para extorsionar.

El método de distribución del malware aún es desconocido para los investigadores.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.