El malware no para, y nuestro Laboratorio tampoco. En esta ocasión tenemos en nuestro repositorio de malware una nueva muestra un troyano para dispositivos Android. Conocido como Exaspy pretende espiar múltiples aplicaciones. Como es habitual su análisis resulta muy interesante.
En esta ocasión, la aplicación se hace pasar por Google Play Services, aunque podemos observar rápidamente que ni el autor ni el nombre del paquete coinciden con el original. No conforme con eso, la lista de permisos iniciales que solicita la aplicación es un tanto sospechosa:
Entre las posibilidades de este malware, se incluye la posibilidad de grabar audio, dentro y fuera de las llamadas, recolección de mensajes SMS/MMS y de aplicaciones como WhatsApp.
 |
| Modulos con los que cuenta este RAT |
A la hora de instalarse, solicita permisos de administrador del dispositivo, de igual forma intenta solicitar root para poder ejecutarse completamente. Dentro de las posibilidades de root, cuenta con la recolección de SMS, MMS, y además de parsers de las bases de datos de mensajes de aplicaciones conocidas.
 |
Módulo de recolección de mensajes (WhatsApp)
|
Son muchas las aplicaciones afectadas. La lista completa incluye: email, Facebook Messenger, Gmail, Hangouts, Keep, PayBox, Skype, Viber y WhatsApp.
Cuenta además, con todo tipo de funcionalidades:
- Recolección de mensajes, acceso al historial del navegador
- Obtención de fotos de la galería del dispositivo
- Control de la cámara, y micrófono del dispositivo
- Capturas de pantalla del dispositivo
- Acceso a la localización del dispositivo
- Recolección de contraseñas almacenadas en el dispositivo (WiFi)
- Acceso a la shell del sistema afectado
Contamos además, con la URL de descarga del APK malicioso, así como de la URL de comunicación con la API del RAT.
 |
hxxp://exaspy(.)com/a.apk (Futuras actualizaciones)
api(.).andr0idservices(.).com (API)
|
Es interesante, que dicha comunicación con el C&C permite (a parte de la tranmisión de archivos locales) la ejecución de comandos de shell. Además de permitir el uso de futuros posibles exploits no incluidos en el malware inicial, lo que le puede permitir elevar privilegios en el dispositivo.
Además,
esta aplicación no cuenta con una MainActivity, lo que provoca que no se
muestre en la lista de aplicaciones instaladas del Launcher. Una forma más de evitar
su detección por el usuario. Dentro de la funcionalidad de root, cuenta con la
posibilidad de matar el zygote de Android, provocando un soft-reset (killProcess("zygote");). Aunque resulta más interesante como el malware
intenta quitarse de encima al servicio de Samsung, para que éste último no le
mate. Finalmente, para evitar ser eliminado se instala como servicio del
sistema.
Ante este tipo de malware, una vez más las recomendaciones habituales. Que pasan por no visitar enlaces desconocidos, evitar la instalación de aplicaciones fuera del Market oficial y la instalación de Koodous desde Google Play:
Estos Malware como Exaspy, son una verdadera molestia para los webmasters.
ResponderEliminarEl detalle ahora es como evitar el ser contagiado con este malware. Afortunadamente siempre una restauración del sistema te sacará del apuro.