La
capacidad de vigilancia del spyware son extensas, registrando cada
llamada, texto, foto, video y más; enviando la información a los
atacantes.
Se ha dado a conocer un spyware móvil para Android, con bastas capacidades de vigilancia avanzadas. Haciendo uso de un malware recientemente descubierto llamado Triout, los ciber criminales aprovechando la gran cantidad de teléfonos inteligentes basados en Android, la creciente base de instalación ofrece una superficie de ataque amplia, llena de micrófonos, cámaras y capacidades de seguimiento por geolocalización que los delincuentes pueden convertir en herramientas de espionaje .
Se ha dado a conocer un spyware móvil para Android, con bastas capacidades de vigilancia avanzadas. Haciendo uso de un malware recientemente descubierto llamado Triout, los ciber criminales aprovechando la gran cantidad de teléfonos inteligentes basados en Android, la creciente base de instalación ofrece una superficie de ataque amplia, llena de micrófonos, cámaras y capacidades de seguimiento por geolocalización que los delincuentes pueden convertir en herramientas de espionaje .
Las
capacidades de vigilancia del spyware generan una amplia red, al pasar
grandes cantidades de datos de actividad del usuario y transmitirlos a
un servidor de comando y control controlado por atacante (C & C);
esto de acuerdo con un análisis de Bitdefender.
Un análisis más detallado al malware demostró que Triout hace el registro de cada llamada hecha por el usuario como un archivo multimedia, luego las envía al C & C con la información del Identificador de llamadas. También registra todos los mensajes SMS entrantes y el remitente, captura cada imagen y video que el usuario toma, captura las coordenadas GPS y registra todos los registros de llamadas (incluyendo fecha, hora, duración de la llamada e ID de llamada) y lo envía todo a los operadores Triout.
"Creemos que se trata de un ataque altamente dirigido contra un grupo limitado de personas, la mayoría de las cuales se encuentran en Israel", dijo el analista senior de e-amenazas de Bitdefender Bogdan Botezatu a Threatpost. "También suponemos que esta aplicación se dirige a varias víctimas clave con fines de espionaje o recopilación de datos. Dado que la aplicación registra llamadas telefónicas y exfiltra mensajes cortos, creemos que quien recibe la información tiene la capacidad de traducir y dar sentido a la información recopilada. La recopilación de dicha información en una variedad de idiomas no tiene ningún valor comercial real, y un equipo local de atacantes debe tener fluidez en docenas de idiomas para obtener información valiosa ".
El
servidor de C & C al que la aplicación está enviando los datos
recopilados está operativo, y la campaña está en curso, según
Bitdefender. Sin embargo, el alcance total de las técnicas
de proliferación de Triout, así como su procedencia, es turbio, dijeron
los investigadores.
"Es interesante que Triout, es detectado por los algoritmos de aprendizaje automático de Bitdefender, se presentó primero desde Rusia, y la mayoría de los escaneos / informes provenían de Israel", señalaron los investigadores en un análisis técnico [PDF] del código publicado. "La primera aparición de la muestra parece ser el 15 de mayo de 2018, cuando se cargó en VirusTotal, pero no está claro cómo se disemina la muestra contaminada. Es probable que se utilicen mercados de terceros u otros dominios controlados por atacantes para alojar la muestra ".
"Es interesante que Triout, es detectado por los algoritmos de aprendizaje automático de Bitdefender, se presentó primero desde Rusia, y la mayoría de los escaneos / informes provenían de Israel", señalaron los investigadores en un análisis técnico [PDF] del código publicado. "La primera aparición de la muestra parece ser el 15 de mayo de 2018, cuando se cargó en VirusTotal, pero no está claro cómo se disemina la muestra contaminada. Es probable que se utilicen mercados de terceros u otros dominios controlados por atacantes para alojar la muestra ".
El
malware se observó por primera vez en una aplicación, suplantando a una
aplicación legítima de Android llamada "Sex Game". Estuvo disponible en
la tienda de Google Play a partir de 2016, pero desde entonces se ha
eliminado.
"La aplicación de malware es casi idéntica a la aplicación original, tanto en código como en funcionalidad, a excepción de la carga maliciosa", según Bitdefender. "Comenzando desde el icono de la aplicación hasta las pantallas en la aplicación, la versión maliciosa parece conservar toda la funcionalidad original, posiblemente para no despertar sospechas en la víctima".
"La aplicación de malware es casi idéntica a la aplicación original, tanto en código como en funcionalidad, a excepción de la carga maliciosa", según Bitdefender. "Comenzando desde el icono de la aplicación hasta las pantallas en la aplicación, la versión maliciosa parece conservar toda la funcionalidad original, posiblemente para no despertar sospechas en la víctima".
Ha
sido complicado para los investigadores estimar la propagación del
malware desde que se eliminó la aplicación de Play Store, Botezatu dijo
que los actores de la amenaza podrían estar preparándose para una
ofensiva mucho más sólida.
"Suponemos que los atacantes ahora han encontrado un mecanismo de entrega alternativo, como las páginas web que controlan", dijo en una entrevista. "Desde el descubrimiento, no pudimos aislar archivos similares de nuestro zoológico de malware, y al principio pensamos que este proyecto fue abandonado. Sin embargo, la infraestructura de comando y control de C & C que recopila la información exfiltrada por el malware está operativa y se actualizó en mayo. Esto nos lleva a pensar que el proyecto está vivo, pero las muestras se difunden de forma controlada para evitar que lleguen a manos de los investigadores de seguridad. La muestra que tenemos podría haber sido una versión alfa del código cargado en la tienda durante la etapa de prueba ".
"Suponemos que los atacantes ahora han encontrado un mecanismo de entrega alternativo, como las páginas web que controlan", dijo en una entrevista. "Desde el descubrimiento, no pudimos aislar archivos similares de nuestro zoológico de malware, y al principio pensamos que este proyecto fue abandonado. Sin embargo, la infraestructura de comando y control de C & C que recopila la información exfiltrada por el malware está operativa y se actualizó en mayo. Esto nos lleva a pensar que el proyecto está vivo, pero las muestras se difunden de forma controlada para evitar que lleguen a manos de los investigadores de seguridad. La muestra que tenemos podría haber sido una versión alfa del código cargado en la tienda durante la etapa de prueba ".
Esta conclusión se ve reforzada por el hecho de que, si bien el malware tiene la capacidad de ocultarse, no lo hace; en
la muestra que encontró Bitdefender, el acceso completo al código
fuente está disponible simplemente desempacando el archivo .apk. Esto sugiere que el marco puede ser una fase de trabajo en progreso o de prueba.
"Aunque este troyano es extremadamente potente y tiene la capacidad de grabar y cargar llamadas telefónicas, así como de usar cámaras y abrirse paso en Play Store, su código se dejó completamente sin ofuscar", dijo Botezatu. "Personalmente creo que estamos viendo una versión alfa de una herramienta de espionaje más grande y más potente".
"Aunque este troyano es extremadamente potente y tiene la capacidad de grabar y cargar llamadas telefónicas, así como de usar cámaras y abrirse paso en Play Store, su código se dejó completamente sin ofuscar", dijo Botezatu. "Personalmente creo que estamos viendo una versión alfa de una herramienta de espionaje más grande y más potente".
Fuente: https://securityhacklabs.net/
0 Comentarios