Durante los últimos tres meses, los analistas de Kaspersky han investigado cómo se distribuía el troyano Obad.a , una aplicación maliciosa para Android. Los cibercriminales que están detrás de este troyano han adoptado una nueva técnica para propagar malware. Por primera vez en la historia de la delincuencia informática móvil, un troyano se está extendiendo mediante botnets controladas por otros grupos delictivos. Obad.a se encuentra sobre todo en los países de la CEI. En total, el 83% de los intentos de infección se registraron en Rusia, mientras que también se ha detectado en los dispositivos móviles en Ucrania, Bielorrusia, Uzbekistán y Kazajstán.
El modelo de distribución más interesante contó con diferentes versiones de Obad.a, propagándose a través de Trojan-SMS.AndroidOS.Opfake.a. Este intento de doble infección comienza con el envío de un mensaje de texto a los usuarios, invitándoles a entrar en un link. Si la víctima hacía clic en el vínculo, el archivo que contenía Opfake.a se descargaba automáticamente en el smartphone o tableta.
El archivo malicioso sólo podía instalarse si el usuario hacía clic en el enlace. Si esto sucedía, el troyano enviaba mensajes a todos los contactos del dispositivo recién infectado. Un proveedor de telefonía móvil de Rusia informó del envío de más de 600 mensajes con estos enlaces en sólo cinco horas, por lo que la distribución es masiva. En la mayoría de los casos, el malware se extendió a dispositivos que ya estaban infectados.
Aparte de usar botnets móviles, el troyano también se distribuye a través de mensajes de spam. Por lo general, el mensaje recibido advierte al usuario sobre el impago de una deuda. También se extendió a través de tiendas de aplicaciones falsas. Los ciberdelincuentes copian el contenido de páginas de Google Play, y sustituyen los enlaces legítimos por otros maliciosos. Todos los usuarios de cualquier tablet o móvil, sea cual sea su sistema operativo, puede ser redirigido a estos sitios falsos, aunque sólo los usuarios de Android corren el riesgo de ser infectados.
“En tres meses descubrimos 12 versiones distintas del Backdoor.AndroidOS.Obad.a. Todos tenían las mismas funciones y un alto nivel de ofuscación de código, y cada una utilizaba una vulnerabilidad de Android OS a la que le da los derechos DeviceAdministrator de malware, haciéndolo mucho más difícil de eliminar. Nada más descubrirlo, informamos a Google y la brecha se ha cerrado en Android 4.3. Sin embargo, sólo unos pocos smartphones y tabletas nuevos ejecutan esta versión, y los dispositivos más antiguos que ejecutan versiones anteriores siguen estando amenazados, afirma Roman Unuchek, experto de Kaspersky Lab.
Vicente Díaz, analista senior de malware en Kaspersky Lab, declaró a Diario TI que se trata de un caso de cooperación entre ciberdelicuentes: “Es algo normal que siempre ha ocurrido en otros entornos, por ejemplo Windows, y tiene mucho que ver con especialización y economía de escala. Primero empiezan los grupos que lo quieren hacer todo, luego aparecen poco a poco los grupos que dan servicios específicos al resto a un precio muy competitivo. Al final todos se van especializando y los grupos que hacían todo al principio van desapareciendo”.
Díaz explicó que el elemento histórico de la nueva incidencia es que “Lo que vemos ahora en Android es que según el mercado va madurando la evolución del mismo es la natural: grupos que se especializan“.
No siempre se trata de cooperación entre delincuentes, a veces son asaltos
El analista senior de malware en Kaspersky Lab agregó: “Está claro que siempre han existido guerras internas de modo que un grupo ha ‘asaltado’ la infraestructura de otro o ha abusado del servicio; no es que se trate precisamente de discusiones entre caballeros. De todos modos creemos que este caso es una cooperación o un servicio prestado de alquiler de botnet móvil a cambio de un precio pactado. Este tipo de casos serán cada vez más frecuentes según el mercado de malware en Android madure“.
Ilustración: Bloomua © / Shutterstock.com
