Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
09/04/2013
Botnet que distribuïx troians per a Android
A més d’utilitzar l’exploit kit Blackhole per a infectar usuaris de PC, si detecta que s’està utilitzant la plataforma Android, descarrega programari maliciós específic per a esta plataforma.
La botnet Cutwail, que ja ha distribuït el conegut troià bancari Zeus, està ara distribuint un nou troià per a Android anomenat Stels. Este troià infecta dispositius Android fent-se passar per una actualització d'Adobe Flash Player. Si les potencials víctimes no estan utilitzant un dispositiu Android, els desenvolupadors del programari maliciós han ideat una alternativa - si els enllaços maliciosos s’obrin en un navegador com ara Internet Explorer, en un equip portàtil o de sobretaula, redirigix els usuaris a pàgines web amb l’exploit kit Blackhole. L’equip de seguretat de Dell ha publicat una anàlisi detallada de l’escenari d’atac.
Segons esta anàlisi, els atacs comencen amb correus no desitjats (Spam) fent-se passar per la IRS, l’agència tributària dels Estats Units. Si un usuari polsa l’enllaç en el correu, un fitxer script esbrina si s’està usant un dispositiu Android. En cas negatiu, i si la víctima està utilitzant Internet Explorer, Mozilla Firefox o Opera, es redirigix a la pàgina que servix l’exploit kit Blackhole, que intenta explotar vulnerabilitats en connectors del navegador desactualitzats per a infectar l’equip.
En canvi, si el fitxer script descobrix que la víctima utilitza Android, envia l’usuari a un web on s’oferix una actualització de Flash Player. Per a poder instal·lar l’actualització falsa, l’usuari ha de tindre marcada l’opció "Orígens desconeguts" en els seus ajustos.
Una vegada aprovada l’actualització, el troià s’instal·la, i quan l’aplicació s’obri per primera vegada, anuncia que l’actualització ha sigut incorrecta i es desinstal·la. Per descomptat, Stels contínua funcionant en segon pla, obri una porta posterior per la qual es descarrega més programari maliciós. A més, el troià espia l’agenda de contactes de la víctima, envia missatges de text que costen diners, fa telefonades i filtra missatges de text en busca de codis mTAN. En conjunció amb el troià Zeus, Stels podria potencialment sobrepassar mètodes d’autenticació de dos factors.
A pesar d’açò, el troià no penetra a fons en el sistema Android. No utilitza accés de superusuari, ni intenta amagar-se. La suposada actualització de Flash pot trobar-se i desinstal·lar-se en les "aplicacions actives" en el menú d’ajustos. A més, abans de la primera execució, un sospitós "APPNAME" apareix breument com a nom de l’aplicació.