Son
muchas las formas de distribución del malware, una de las más habituales es la
ingeniería social. En el Laboratorio hemos encontrado una nueva muestra de un
gusano para Android que aprovecha esta técnica con gran efectividad.
¿Pero, qué es eso de la
ingeniería social? Alguna vez te habrá llegado un mensaje del estilo: "¡Mira
esta foto!", "A ver si te encuentras en la foto de anoche!",
"Mira, ¡agua en Murcia!". Todo esto, por supuesto, acompañado de un
enlace o foto falsa con su respectivo "regalito". Este gusano
aprovecha dicho método para distribuirse.
Evidentemente usa el
desconocimiento o la curiosidad del usuario para instalarse. Es el propio
usuario el que movido por el mensaje abre un enlace o aplicación incluida y de
esa forma el malware termina instalado en el dispositivo.
Una vez instalado, solicita
permiso para añadirse al dispositivo como administrador, además de pedir
autorización para bloquear la pantalla. Con esto impide al usuario detener la
acción maliciosa. Por ejemplo, bloquear el teléfono mientras se están enviando
SMS, o desbloquearlo para frenar este comportamiento.
En este caso, la explicación que
nos da (en chino), para solicitar este permiso es "Improved access protection".
El mecanismo de distribución,
comienza nada más abrirse la aplicación.
Como observamos, la aplicación
lee la lista de contactos al completo, almacenando el nombre junto con el
número de teléfono. De esta manera puede enviar mensajes 'personalizados' a
cada uno de los contactos. Este mensaje, sería algo así:
(CONTACTO):瞧这影像 pywkh(.)cc =
(CONTACTO):Mira esta imagen pywkh(.)cc
NOTA: No acceder a la URL,
contiene la APK maliciosa
Una vez el usuario reciba el
enlace, enviado por alguien de confianza y además mencionando su nombre,
probablemente lo pulsará y será infectado.
Se recolecta información del dispositivo,
y posteriormente se comunica por SMTP. Por "sorpresa", el autor no se ha molestado en ocultar sus
credenciales; es decir, van en plano.
Como conclusión
de este análisis, tenemos las recomendaciones habituales de hacer click o
pulsar sobre enlaces que desconozcamos, y menos aun instalar aplicaciones
desconocidas, especialmente fuera del Market oficial.
SHA256: 15af04bba0ed13f13e49ce5cad459d88dbcf723b47becc3e11a7f8ff6075635e
Fernando Díaz
Pole!
ResponderEliminarSubPole
ResponderEliminar