Menú

Investigadores de Kaspersky descubren el Malware Android mas avanzado

Kaspersky-Lab-logoUna nueva forma de malware Android ha sido descubierta por los investigadores en Kapersky. No parece una gran noticia en si, pero este troyano realiza cosas que ningún otra aplicación maliciosa ha hecho antes.

Hace exploit en múltiples vulnerabilidades, bloquea intentos de desinstalación o ganar acceso root y puede ejecutar comandos remotos.“Backdoor.AndroidOs.Obad.a”, como ha sido nombrado, es el malware Android mas sofisticado jamás visto.

Hay dos vulnerabilidades desconocidas que Obad amenaza. El instalador malware contiene un modificado AndroidManifest.xml, el cual es una parte de todas las aplicaciones Android. La primera gran vulnerabilidad está en el procesado de este archivo por el sistema, este no debería ser procesado de todas maneras, pero la aplicación se instala.

Una vez que Obad se encuentra en un dispositivo, este usa el segundo exploit de Android para ganar acceso extendido como Administrador. La función del Administrador Android permite a las aplicaciones leer notificaciones y realizar otras operaciones avanzadas. Cuando este comando es ejecutado, Obad ya no puede ser desinstalado y ya no aparece en la lista de aplicaciones aprobadas por el Administrador.

Cuando esta así de escondido, Obad empieza a probar el sistema, verificar internet y comprobar el acceso root. Este “sorbe” los datos y toma el control de los servers. Aquí os dejamos la lista de comandos funciones describidas por Kapersky:

  • Envía mensaje de texto. Parámetros contiene numero y texto. Respuestas son borradas.
  • PING
  • Recivir balance de cuenta vía USSD
  • Actúa como un proxy (envia datos específicos a ciertas direcciones, y comunica la respuesta)
  • Conecta a direcciones específicas (clicker)
  • Descarga un archivo del server y lo instala
  • Envía una lista de aplicaciones instaladas en el smartphone al server.
  • Envía información acerca de una específica aplicación instalada por el server C&C.
  • Envía los datos de contacto del usuario al server.
  • Shell remoto. Ejecuta comandos en la consola, especificado por el cybercriminal.
  • Envía un archivo a todos los dispositivos Bluetooth detectados.

Cuando este llega a un dispositivo nuevo la mayoría del paquete está encriptado y algunos de los componentes mas importantes están sin encriptar hasta que gana el acceso a internet. Esto hace que el análisis y la detección sea mucho mas difícil. El trojano no tiene incluso una interfaz y funciona enteramente en segundo plano.

El nivel de sofisticación y de nuevos exploits de este tipo de malware parece mas a un virus de Windows que a otros trojanos Android. Backdoor.AndroidOS.Obad.a todavía tiene muy limitado el alcance, pero ya está apareciendo en aplicaciones de tiendas alternativas y webs sospechosas.