Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/07/2018
El malware escondido en una aplicación aparentemente legítima de información sobre el Mundial de Rusia 2018 utiliza varias fases para eludir los sistemas de seguridad de Google Play y de Android y así poder obtener la información.
En la primera fase de establece la comunicación con el servidor de C&C utilizando el protocolo MQTT usando el puerto 1883, para una vez establecida la conexión enviar la lista de aplicaciones instaladas y su estado por HTTP.
En la segunda fase descarga un fichero .DEX para implementar servicios de persistencia para comunicarse con el C&C y gestionar la ejecución del malware, así como monitorizar las llamadas entrantes y la instalación de otras aplicaciones.
Por último se ha advertido que varios de los comandos que acepta el servicio TaskManager para gestión de la ejecución del malware son capaces de compartir la ubicación actual, utilizar cámara y micrófono y obtener información de los contactos del usuario.