Nuevo malware para Android empaqueta exploits ROOTKITS cifrados
Una nueva pieza de malware para Android que funciona como una puerta trasera cifra los ROOTKITS existentes para hacer más difícil que las aplicaciones de seguridad lo detecten y puedan descubrirlo al propagarse.
La amenaza fue encontrada por investigadores de la Universidad Estatal de Carolina del Norte en aplicaciones y foros chinos no oficiales de Android. El malware, conocido como DroidKungFu, fue identificado en cuatro aplicaciones troyanizadas, incluyendo dos video juegos.
La práctica de volver a empaquetar aplicaciones confiables junto con los troyanos ha sido el método más común para infectar teléfonos Android hasta ahora.
El que las aplicaciones con DroidKungFu añadido no hayan sido descubiertas en el mercado oficial de Android, no quiere decir que no se harán en el futuro.
Google ha eliminado decenas de aplicaciones troyanizadas del mercado oficial siguiendo reportes de investigadores de seguridad y vendedores de antivirus, por lo que los precedentes existen.
DroidKungFu explota dos vulnerabilidades en Android 2.2 (Froyo) y versiones anteriores con el fin de obtener acceso de root e instalar un componente de puerta trasera.
Estas vulnerabilidades han sido atacadas por otros troyanos Android en el pasado, pero DroidKungFu maneja cifrado con el fin de hacer la detección antivirus más difícil.
“Lo hemos probado en dos aplicaciones principales de seguridad móvil y DroidKungFu no ha sido detectado,” dijeron Xuxian Jiang, profesor asistente de la Universidad Estatal de Carolina del Norte, y Zhou Yajin, estudiante del doctorado de la misma universidad.
Cuando DroidKungFu es ejecutado en un teléfono, instala una aplicación de puerta trasera llamada “legacy” con privilegios de root. Esta aplicación funge como el legítimo buscador de Google y copia su icono.
La aplicación falsa transforma el dispositivo en un cliente botnet a la espera de instrucciones. Según los analistas de malware de F-Secure, DroidKungFu puede borrar un archivo específico, abrir una URL determinada, cambiar la página principal del navegador, así como descargar, instalar e iniciar aplicaciones.
El malware también envía información acerca del dispositivo bajo ataque. Estos datos incluyen el número IMEI, construcción de Android, versión SDK, número de teléfono actual, operador de red, tipo de conectividad de red y la cantidad de memoria disponible.
Los usuarios deben tener cuidado al instalar aplicaciones de Android, particularmente con los permisos otorgados. Aplicaciones troyanizadas siempre pedirán permiso para extensión de permisos que no son normalmente necesarios para la función de la aplicación.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.