Investigadores de seguridad de Cisco Talos han descubierto variantes de un nuevo troyano de Android que se distribuyen de forma desenfrenada como una aplicación antivirus falsa, llamada «Naver Defender».

Apodado KevDroid , el malware es una herramienta de administración remota (RAT) diseñada para robar información sensible de dispositivos Android comprometidos, así como también capaz de grabar llamadas telefónicas.

Investigadores de Talos publicaron el lunes detalles técnicos sobre dos variantes recientes de KevDroid detectadas en la naturaleza, tras el descubrimiento inicial del troyano por la firma de seguridad cibernética de Corea del Sur, ESTsecurity, hace dos semanas.

Aunque los investigadores no han atribuido el malware a ningún grupo pirateado o patrocinado por el estado, los medios de Corea del Sur han vinculado a KevDroid con el grupo de piratería cibernética patrocinado por el estado » Grupo 123 «, conocido principalmente por objetivos en Corea del Sur.

La variante más reciente de malware KevDroid, detectada en marzo de este año, tiene las siguientes capacidades:

  • grabar llamadas telefónicas y audio
  • robar historial web y archivos
  • obtener acceso a la raíz
  • robar registros de llamadas, SMS, correos electrónicos
  • recolectar la ubicación del dispositivo cada 10 segundos
  • recoger una lista de aplicaciones instaladas
El malware utiliza una biblioteca de código abierto, disponible en GitHub , para obtener la capacidad de grabar llamadas entrantes y salientes desde el dispositivo Android comprometido.
android-malware
Aunque ambas muestras de malware tienen las mismas capacidades de robar información en el dispositivo comprometido y registrar las llamadas telefónicas de la víctima, una de las variantes incluso explota una falla conocida de Android (CVE-2015-3636) para obtener acceso raíz en el dispositivo comprometido.
A continuación, todos los datos robados se envían a un servidor de control y comando controlado por atacante (C2), alojado en la red global de flujo de datos de PubNub, utilizando una solicitud HTTP POST.

«Si un adversario tuvo éxito en obtener parte de la información que KevDroid es capaz de recopilar, podría dar lugar a una multitud de problemas para la víctima», lo que da como resultado «la fuga de datos, lo que podría conducir a una serie de cosas, como el secuestro de un ser querido, el chantaje mediante el uso de imágenes o información secreta, recolección de credenciales, acceso a tokens multifactoriales (SMS MFA), implicaciones bancarias / financieras y acceso a información privilegiada, tal vez a través de correos electrónicos / textos «, dice Talos.

«Muchos usuarios acceden a su correo electrónico corporativo a través de dispositivos móviles. Esto podría provocar que el ciberespionaje sea un posible resultado para KevDroid».

Los investigadores también descubrieron otra RAT, diseñada para los usuarios de Windows, que comparten el mismo servidor de C & C y también utiliza la API PubNub para enviar comandos a los dispositivos comprometidos.

Cómo mantener su teléfono inteligente seguro

Se recomienda a los usuarios de Android que realicen una comprobación cruzada de las aplicaciones instaladas en sus dispositivos para encontrar y eliminar si hay alguna aplicación maliciosa / desconocida / innecesaria en la lista sin su conocimiento o consentimiento.

Tal malware de Android también se puede utilizar para orientar sus dispositivos, por lo que si posee un dispositivo Android, le recomendamos que siga estos simples pasos para evitar que esto le suceda:

  • Nunca instale aplicaciones en tiendas de terceros.
  • Asegúrese de que ya haya optado por Google Play Protect.
  • Habilite la función ‘verificar aplicaciones’ desde la configuración.
  • Mantenga las «fuentes desconocidas» deshabilitadas mientras no lo esté usando.
  • Instale software antivirus y de seguridad de un proveedor de ciberseguridad conocido.
  • Haga una copia de seguridad de su teléfono regularmente.
  • Siempre use una aplicación de encriptación para proteger cualquier información sensible en su teléfono.
  • Nunca abra documentos que no está esperando, incluso si parece que es de alguien que conoce.
  • Proteja sus dispositivos con un bloqueo de PIN o contraseña para que nadie pueda obtener acceso no autorizado a su dispositivo cuando permanece desatendido.
  • Mantenga su dispositivo siempre actualizado con los últimos parches de seguridad.

Fuente: Thehackernews.com

Compartir