¡Cuidado usuarios de Android! 

Investigadores de la empresa de ciberseguridad Trustlook Labs han identificado un nuevo troyano para el sistema operativo que roba datos de la mayoría de aplicaciones de mensajería instantánea para móviles. La lista de aplicaciones afectadas es la siguiente:

  • Twitter.

  • Skype.

  • Viber.
  • Weibo.
  • Line.
  • Coco.
  • BeeTalk.
  • Tencent.
  • WeChat.
  • Gruveo.
  • Magic Call.
  • Telegram Messenger.
  • Facebook Messenger.
  • Voxer Walkie-Talkie Messenger.
  • TalkBox Voice Messenger Momo.

Según la entrada del blog de los investigadores, el malware puede ocultar de forma efectiva su archivo de configuración y algunos de sus módulos para evitar ser detectado. Los investigadores señalan que aunque parece complejo, tiene capacidades limitadas.

El malware fue descubierto en Cloud Module, una aplicación china, mientras que el paquete que contenía el malware fue identificado como com.android.boxa.

Su tarea principal es recopilar datos confidenciales de usuarios de aplicaciones de mensajería instantánea y clientes de mensajería instantánea. Una vez que el malware infecta correctamente una aplicación, modifica el archivo “/system/etc/install-recovery.sh”. Después de esto, permite que el archivo se ejecute cada vez que se abre la aplicación infectada.

El troyano utiliza métodos de detección antiemuladores y depuradores para evitar el análisis dinámico y ocultar las cadenas. También agrega algunos de sus módulos a su carpeta Assets mientras que todos los módulos están en formato encriptado. En algunos módulos como “sx”, “sy”, “coso”, “dmnso”, el malware utiliza el primer byte del módulo a XOR para desencriptar los datos.

Por ejemplo, el módulo “coso” original en la carpeta Assets se convierte en un módulo ELF después del descifrado. La información sobre el servidor C&C del malware y otras propiedades se almacena en el archivo de configuración. El malware accede a este archivo cada vez que tiene que comunicarse con el atacante y los datos robados se transfieren a un servidor remoto.

Presume de un diseño muy simple y directo con un enfoque de ataque unidireccional. Sin embargo, las técnicas de evasión que adopta son bastante avanzadas, lo que dificulta que el software antivirus las detecte.

Dado el singular objetivo de este troyano Android, que es robar datos, resulta evidente que los controladores del malware necesitan recopilar datos sensibles intercambiados durante conversaciones privadas. Esto puede incluir imágenes y videos también, ya que estos lpueden ser utilizados para extorsionar.

El método de distribución del malware aún es desconocido para los investigadores.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.