RECIBIDA MUESTRA DE ANDRORAT, UTILIDAD DE CONTROL REMOTO PARA PLATAFORMA ANDROID DE CODIGO ABIERTO

Una nueva variante de troyano para moviles ANDROID, que no es mas que una Aplicacion de Control Remoto para dicho entorno, pasamos a informar sobre ella, si bien no añadimos su control en el ELISTARA ya que no se propaga a traves de PC’s ni es operativa en ellos, sino que para su instalacion, requiere un medio con sistema Android.

Las caracteristicas generales de dicho malware son:
malware Androrat es un RAT (Remote Administration Tool) de código abierto para Android. Se trata

de una aplicación cliente-servidor desarrollada en Java (Java Android para el cliente y

Java/Swing para el servidor) por un equipo de cuatro desarrolladores universitarios en tan sólo

un mes. Por lo tanto es casi una prueba de concepto, si bien es bastante funcional ya que en sus

primeras versiones puede:

– Obtener los contactos (y toda la información de ellos)
– Obtener los registros de llamadas
– Obtener todos los mensajes
– Localización por GPS / Red
– Monitorizar mensajes recibidos en tiempo real
– Monitorizar el estado del teléfono en tiempo real (llamada recibida, llamada enviada, llamada

perdida ..)
– Tomar una fotografía desde la cámara
– Obtener el sonido del micrófono (u otras fuentes ..)
– Obtener el streaming de vídeo (sólo para clientes basados en actividad)
– Enviar un mensaje de texto
– Relizar una llamada
– Abrir una URL en el navegador por defecto
– Hacer vibrar el teléfono

La aplicación Android se ejecuta como un servicio (no una actividad) que se inicia durante el

arranque. Por lo tanto el usuario no tiene que interactuar con el servicio (si bien hay una

actividad de depuración que permite configurar la dirección IP y el puerto de conexión).
La conexión con el servidor puede ser desencadenada por un SMS o una llamada (configurable). Info de Vicente Motos.

 Fuente

El preanalisis de virustotal ofrece este informe:

SHA256: d54d3b87a0dce0895565f3ae06bf65a4a67f9c5f72fa87a6fc63d47fe0360af3
SHA1: 37085166a271c5cffe17dab8c2443c88ea2a31ce
MD5: 65fd42340068aa5683e54fe0071522c9
Tamaño: 3.4 MB ( 3566993 bytes )
Nombre: androrat-master.exe.apk
Tipo: Win32 EXE
Detecciones: 8 / 47
Fecha de análisis: 2013-07-02 07:24:44 UTC ( hace 1 minuto )

0 1 Más detalles Análisis File detail Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum  20130701
AhnLab-V3  20130701
AntiVir  20130702
Antiy-AVL  20130702
Avast Android:Androrat-A [PUP] 20130702
AVG  20130702
BitDefender  20130701
ByteHero  20130613
CAT-QuickHeal  20130701
ClamAV  20130702
Commtouch AndroidOS/GenBl.BADD5164!Olympus 20130702
Comodo UnclassifiedMalware 20130702
DrWeb  20130702
Emsisoft  20130702
eSafe  20130701
ESET-NOD32 Android/AndroRAT.A 20130701
F-Prot  20130702
F-Secure  20130702
Fortinet Android/AndroRat.A 20130702
GData 
Ikarus  20130702
Jiangmin  20130702
K7AntiVirus  20130701
K7GW  20130701
Kaspersky not-a-virus:HEUR:RemoteAdmin.AndroidOS.Androrat.a 20130702
Kingsoft  20130506
Malwarebytes  20130702
McAfee  20130702
McAfee-GW-Edition  20130702
Microsoft  20130702
MicroWorld-eScan  20130702
NANO-Antivirus  20130702
Norman  20130702
nProtect  20130702
Panda  20130701
PCTools  20130702
Rising  20130702
Sophos Andr/Dandro-A 20130702
SUPERAntiSpyware  20130702
Symantec  20130702
TheHacker  20130630
TotalDefense  20130701
TrendMicro  20130702
TrendMicro-HouseCall TROJ_GEN.R047B01G113 20130702
VBA32  20130701
VIPRE  20130702
ViRobot  20130702

Como se ve, la muestra recibida tiene extension .APK , propia para instalacion en sistemas ANDROID, no operativa en Windows.
Sirva dicha informacion para conocimiento de dicho engendro que mal usado puede ser utilizado para controlar los moviles en los que se haya instalado.

saludos

ms, 2-7-2013