Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
09/04/2013
Botnet que distribuye troyanos para Android
Además de utilizar el exploit kit Blackhole para infectar a usuarios de PC, si detecta que se está utilizando la plataforma Android, descarga malware específico para esta plataforma.
La botnet Cutwail, que ya ha distribuido el conocido troyano bancario Zeus, está ahora distribuyendo un nuevo troyano para Android llamado Stels. Este troyano infecta dispositivos Android haciendose pasar por una actualización de Adobe Flash Player. Si las potenciales víctimas no están utilizando un dispositivo Android, los desarrolladores del malware han ideado una alternativa - si los enlaces maliciosos se abren en un navegador como Internet Explorer, en un equipo portátil o de sobremesa, se redirige a los usuarios a páginas web con el exploit kit Blackhole. El equipo de seguridad de Dell ha publicado un análisis detallado del escenario de ataque.
Según este análisis, los ataques empiezan con correos no deseados (Spam) haciéndose pasar por la IRS, la agencia tributaria de Estados Unidos. Si un usuario pulsa el enlace en el correo, un script averigua si se está usando un dispositivo Android. En caso negativo, y si la víctima está utilizando Internet Explorer, Mozilla Firefox u Opera, se redirige a la página que sirve el exploit kit Blackhole, que intenta explotar vulnerabilidades en plugins del navegador desactualizados para infectar el equipo.
En cambio, si el script descubre que la víctima utiliza Android, envía al usuario a una web donde se ofrece una actualización de Flash Player. Para poder instalar la actualización falsa, el usuario debe tener marcada la opción "Origenes desconocidos" en sus ajustes.
Una vez aprobada la actualización, el troyano se instala, y cuando la aplicación se abre por primera vez, anuncia que la actualización ha sido incorrecta y se desinstala. Por supuesto, Stels continua funcionando en segundo plano, abriendo una puerta trasera por la que se descarga más malware. Además, el troyano espia la agenda de contactos de la víctima, envía mensajes de texto que cuestan dinero, hace llamadas telefónicas y filtra mensajes de texto en busca de códigos mTAN. En conjunción con el troyano Zeus, Stels podría potencialmente sobrepasar métodos de autenticación de dos factores.
A pesar de esto, el troyano no penetra a fondo en el sistema Android. No utiliza acceso de superusuario, ni intenta esconderse. La supuesta actualización de Flash puede encontrarse y desinstalarse en las "aplicaciones activas" en el menú de ajustes. Además, antes de su primera ejecución, un sospechoso "APPNAME" aparece brevemente como nombre de la aplicación.