jueves, 3 de noviembre de 2016

Exaspy, un nuevo malware espía para Android

El malware no para, y nuestro Laboratorio tampoco. En esta ocasión tenemos en nuestro repositorio de malware una nueva muestra un troyano para dispositivos Android. Conocido como Exaspy pretende espiar múltiples aplicaciones. Como es habitual su análisis resulta muy interesante.



En esta ocasión, la aplicación se hace pasar por Google Play Services, aunque podemos observar rápidamente que ni el autor ni el nombre del paquete coinciden con el original. No conforme con eso, la lista de permisos iniciales que solicita la aplicación es un tanto sospechosa:


Entre las posibilidades de este malware, se incluye la posibilidad de grabar audio, dentro y fuera de las llamadas, recolección de mensajes SMS/MMS y de aplicaciones como WhatsApp.

Modulos con los que cuenta este RAT

A la hora de instalarse, solicita permisos de administrador del dispositivo, de igual forma intenta solicitar root para poder ejecutarse completamente. Dentro de las posibilidades de root, cuenta con la recolección de SMS, MMS, y además de parsers de las bases de datos de mensajes de aplicaciones conocidas. 

Módulo de recolección de mensajes (WhatsApp)


Son muchas las aplicaciones afectadas. La lista completa incluye: email, Facebook Messenger, Gmail, Hangouts, Keep, PayBox, Skype, Viber y WhatsApp. 

Cuenta además, con todo tipo de funcionalidades:
  • Recolección de mensajes, acceso al historial del navegador
  • Obtención de fotos de la galería del dispositivo
  • Control de la cámara, y micrófono del dispositivo
  • Capturas de pantalla del dispositivo
  • Acceso a la localización del dispositivo
  • Recolección de contraseñas almacenadas en el dispositivo (WiFi)
  • Acceso a la shell del sistema afectado
Contamos además, con la URL de descarga del APK malicioso, así como de la URL de comunicación con la API del RAT.

hxxp://exaspy(.)com/a.apk (Futuras actualizaciones)
api(.).andr0idservices(.).com (API)
Es interesante, que dicha comunicación con el C&C permite (a parte de la tranmisión de archivos locales) la ejecución de comandos de shell. Además de permitir el uso de futuros posibles exploits no incluidos en el malware inicial, lo que le puede permitir elevar privilegios en el dispositivo. 

Además, esta aplicación no cuenta con una MainActivity, lo que provoca que no se muestre en la lista de aplicaciones instaladas del Launcher. Una forma más de evitar su detección por el usuario. Dentro de la funcionalidad de root, cuenta con la posibilidad de matar el zygote de Android, provocando un soft-reset (killProcess("zygote");). Aunque resulta más interesante como el malware intenta quitarse de encima al servicio de Samsung, para que éste último no le mate. Finalmente, para evitar ser eliminado se instala como servicio del sistema.


Ante este tipo de malware, una vez más las recomendaciones habituales. Que pasan por no visitar enlaces desconocidos, evitar la instalación de aplicaciones fuera del Market oficial y la instalación de Koodous desde Google Play:



Fernando Díaz



5 comentarios:

  1. Estos Malware como Exaspy, son una verdadera molestia para los webmasters.
    El detalle ahora es como evitar el ser contagiado con este malware. Afortunadamente siempre una restauración del sistema te sacará del apuro.

    ResponderEliminar
  2. Exaspy is a powerful new spy malware for Android. It has the potential to be quite powerful in marketing management, so it's an excellent tool. With the help of a marketing management assignment helper, Exaspy can track online campaigns, analyze segmentation and targeting categories, and measure ROI on campaigns. Additionally, it can provide access to valuable customer insights from analytics and reports. These features combine to make Exaspy an excellent choice for any marketing manager.

    ResponderEliminar
  3. Laboratorio.blogs hispasec is a blog that is part of the HISPASEC website. HISPASEC is a Spanish non-profit organization that promotes information security and computer security. The blog covers a variety of topics related to information security, such as malware analysis, vulnerability research, and security awareness. The blog is well-written and informative, and it provides valuable insights for security professionals and enthusiasts.
    Accidente de Camionero Conductor
    Accidentes de Camioneros Conductor

    ResponderEliminar
  4. Amazing, Your blogs are really good and informative. I got a lots of useful information in your blogs. Conocido como Exaspy pretende espiar múltiples aplicaciones. Como es habitual su análisis resulta muy interesante chapter 7 bankruptcy lawyer near me. It is very great and useful to all. Keeps sharing more useful blogs..

    ResponderEliminar
  5. Exaspy, a new Spanish malware for Android, poses a significant threat to mobile security, compromising personal information and privacy. The news emphasizes the importance of robust security measures on Android devices to prevent potential infiltrations. Users should be alert and take additional precautions when downloading applications, emphasizing the need for continuous awareness about cyber threats. Rapid identification and response to such threats are crucial for protecting mobile device integrity.
    Reckless Driving Ticket New Jersey

    ResponderEliminar