Avanzado malware para Android aprovecha vulnerabilidades desconocidas

Se ha descubierto un nuevo troyano de lo más sofisticado:
aprovecha fallos desconocidos, actúa con sigilo, roba todo tipo de
información… y está programado para Android. Las características lo
sitúan entre los más avanzados encontrados hasta la fecha para esta
plataforma.

Android es la plataforma móvil contra la que se ha volcado el malware
de forma masiva. Obvian los iPhone (por su política de firma de
aplicaciones), Blackbery y Windows Phone. Los usuarios de Android son
los que deben preocuparse por el malware en estos momentos por como ya
se ha mencionado en una-al-día, es el líder indiscutible. Este malware
encontrado introduce novedades interesantes.

El malware para Android se puede meter en cuatro grandes sacos:
Principalmente los que utilizan los mensajes premium para monetizar
rápidamente la infección. El sistema es infectado y permite el envío
automático de mensajes a servicios premium SMS. Otra variante es el
malware en Android como “complemento” de los troyanos bancarios. Oras
menos conocidas como las que, siguiendo los pasos del malware para
escritorio, bloquean el teléfono buscando un rescate o que muestran
publicidad. También existe el malware que inyecta publicidad en todas
las aplicaciones… Y por último están las aplicaciones espía que
permiten a un tercero obtener información del teléfono o de la actividad
del usuario. Aquí es donde innova Backdoor.AndroidOS.Obad, como lo han
bautizado.

Ofuscación de código y aprovechamiento de vulnerabilidades

El malware habitual para Windows utiliza todo tipo de trucos y astucias
para evitar la ingeniería inversa. En Android esto no es tan habitual.
Los investigadores utilizan DEX2JAR, que convierte los APK en ficheros
JAR. Estos JAR, una vez descompilados, permiten una lectura limpia del
código del malware y así entenderlo. Obad lo tiene en cuenta y actúa de
forma que, aprovechando un fallo en DEX2JAR, evita la conversión y
dificulta su análisis.

También construye de manera especial el AndroidManifest.xml, fichero de
configuración que acompaña a las aplicaciones y que, sin cumplir los
estándares, es procesado por el sistema operativo. Por último aprovecha
otro error del sistema, previamente desconocido, que permite a la
aplicación tener los privilegios de “Device Administrator” (más
privilegios que el usuario normal que usa el teléfono) sin que aparezca
en la lista de aplicaciones con esos privilegios. Esto, añadido a que
corre totalmente en el “background”, impide acceder a ningún punto donde
se pueda borrar la aplicación a nivel “normal”. También intenta hacerse
“root” ejecutando el comando “su id”, y así también comprobar si el
terminal está “rooteado”.

Por último, cifra y ofusca todos las URL de sus sistemas de control
externos a los que envía y desde los que recibe información.

Qué hace

Fundamentalmente, robar información del teléfono. Pero sobre todo, lo
interesante es saber qué instrucciones recibe de sus sistemas de
control. Las más relevantes son:

* Enviar mensajes SMS a números que se le pasan por parámetro y bloquear
las respuestas.
* Recibir el saldo de la cuenta a través de USSD (Unstructured
Supplementary Service Data).
* Actuar como proxy.
* Conectarse a diferentes direcciones (para actuar como clicker en
anuncios, por ejemplos)
* Abrir una consola en el teléfono y ejecutar comandos.
* Enviar ficheros a los dispositivos Bluetooth alrededor.

Kaspersky también publica cómo se realiza la comunicación (a través de
JSON, como viene siendo habitual) con los atacantes.

Como bien indican en la conclusión de su estudio, este malware se acerca
en sus prácticas a lo que podría entenderse como comportamientos
habituales del malware en el mundo Windows. Desde luego, ha ganado en
sofisticación, pero también resulta avanzado el uso de vulnerabilidades
concretas previamente desconocidas para Android, algo poco habitual
incluso para el malware en Windows.
 Fuente