Detectan troyano que ataca al cerebro de los m贸viles Android

Los smartphones que se ejecutan en Android 4.4.4. y las versiones anteriores de este sistema operativo son los que m谩s riesgo de infecci贸n tienen.ril3w

Kaspersky Lab ha descubierto Triada, un nuevo troyano dirigido a dispositivos Android comparable, por su complejidad, con el malware basado en Windows. Seg煤n la empresa de seguridad inform谩tica, el malware es sigiloso, modular, persistente y creado por ciberdelincuentes muy profesionales. Los dispositivos que ejecutan la versi贸n de Android 4.4.4. y anteriores son los que presentan mayor riesgo de infecci贸n.

Seg煤n el reciente informe Mobile Virusology de Kaspersky Lab, casi la mitad del Top 20 de los troyanos de 2015 eran programas maliciosos con capacidad para robar los derechos de acceso de superusuario, es decir, que dan a los cibercriminales la posibilidad de instalar las aplicaciones en el tel茅fono sin el conocimiento del usuario. Este tipo de malware se propaga a trav茅s de aplicaciones que los usuarios se descargan/instalan de fuentes no fiables. Otras veces, estas aplicaciones se pueden encontrar en la tienda oficial Google Play y se hacen pasar por una aplicaci贸n de juego o entretenimiento. Tambi茅n se pueden instalar durante la actualizaci贸n de las aplicaciones, incluso en las que est谩n preinstaladas en el dispositivo m贸vil.

Existen 11 familias de troyanos m贸viles conocidos que utilizan los privilegios de root. Tres de ellos – Ztorg, Gorpo y Leech – act煤an en cooperaci贸n con los dem谩s. Normalmente, los dispositivos infectados con estos troyanos se organizan en una red, creando una especie de red de bots de publicidad que los agentes pueden utilizar para instalar diferentes tipos de programas publicitarios. Pero eso no es todo, poco despu茅s de rootear el dispositivo, los troyanos descargan e instalan un backdoor. Esta descarga activa dos m贸dulos que tienen la capacidad de descargar, instalar y ejecutar aplicaciones.

El cargador de aplicaciones y sus m贸dulos de instalaci贸n se refieren a diferentes tipos de troyanos, pero todos ellos se han a帽adido a las bases de datos antivirus de Kaspersky Lab bajo un nombre com煤n – Triada.

Entrar en el proceso de Android

Una caracter铆stica distintiva de este malware es el uso de Zygote – el creador del proceso de aplicaciones en un dispositivo Android – que contiene bibliotecas del sistema y los marcos utilizados por cada aplicaci贸n instalada en el dispositivo. En otras palabras, es un 鈥渄emonio鈥 cuyo objetivo es poner en marcha aplicaciones de Android y esto significa que tan pronto como el troyano entra en el sistema, se convierte en parte del proceso de aplicaci贸n y puede incluso cambiar la l贸gica de todas sus operaciones.

Las prestaciones de este malware son muy avanzadas. Tras entrar en el dispositivo del usuario, Triada se implementa en casi todos los procesos de trabajo y sigue existiendo en la memoria a corto plazo. Esto hace que sea casi imposible de detectar y eliminar. Triada opera en silencio, lo que significa que todas las actividades maliciosas est谩n ocultas tanto desde el usuario como desde otras aplicaciones.

Por la complejidad de la funcionalidad del troyano es evidente que los cibercriminales que est谩n detr谩s de este malware son muy profesionales, con un profundo conocimiento de la plataforma m贸vil.

El modelo comercial de Triada

Triada puede modificar los mensajes SMS salientes enviados por otras aplicaciones. Cuando un usuario est谩 haciendo compras en la aplicaci贸n a trav茅s de SMS para juegos de Android, los ciberdefraudadores modifican los SMS salientes para recibir el dinero ellos.

“La Triada de Ztrog, Gorpo y Leech marca una nueva etapa en la evoluci贸n de las amenazas basadas en Android. Son los primeros programas maliciosos con potencial de escalar sus privilegios a casi todos los dispositivos. La mayor铆a de los usuarios atacados por los troyanos se encuentra en Rusia, India y Ucrania, as铆 como los pa铆ses en APAC. Su principal amenaza est谩 en que proporciona acceso a aplicaciones maliciosas mucho m谩s avanzadas y peligrosas. Tambi茅n tienen una arquitectura bien pensada, desarrollada por los ciberdelincuentes que tienen un profundo conocimiento de la plataforma m贸vil de destino”, afirma Nikita Buchka, analista junior de malware de Kaspersky Lab.

Ya que es casi imposible desinstalar este malware desde un dispositivo, los usuarios tienen dos opciones para deshacerse de 茅l. La primera es rootear el dispositivo y borrar las aplicaciones maliciosas de forma manual. La segunda opci贸n es hacer jailbreak al sistema Android en el dispositivo.

 


驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.