Triout Malware, realiza vigilancia dirigida en Android - Seguridad de la información

Breaking

Webs Amigas

miércoles, 22 de agosto de 2018

Triout Malware, realiza vigilancia dirigida en Android


La capacidad de vigilancia del spyware son extensas, registrando cada llamada, texto, foto, video y más; enviando la información a los atacantes.

Se ha dado a conocer un spyware móvil para Android, con bastas capacidades de vigilancia avanzadas.  Haciendo uso de un malware recientemente descubierto llamado Triout, los ciber criminales aprovechando la gran cantidad de teléfonos inteligentes basados en Android, la creciente base de instalación ofrece una superficie de ataque amplia, llena de micrófonos, cámaras y capacidades de seguimiento por geolocalización que los delincuentes pueden convertir en herramientas de espionaje .

Las capacidades de vigilancia del spyware generan una amplia red, al pasar grandes cantidades de datos de actividad del usuario y transmitirlos a un servidor de comando y control controlado por atacante (C & C); esto de acuerdo con un análisis de Bitdefender.
 
https://securityhacklabs.net/

Un análisis más detallado al malware demostró que Triout hace el registro de cada llamada hecha por el usuario como un archivo multimedia, luego las envía al C & C con la información del Identificador de llamadas. También registra todos los mensajes SMS entrantes y el remitente, captura cada imagen y video que el usuario toma, captura las coordenadas GPS y registra todos los registros de llamadas (incluyendo fecha, hora, duración de la llamada e ID de llamada) y lo envía todo a los operadores Triout.

"Creemos que se trata de un ataque altamente dirigido contra un grupo limitado de personas, la mayoría de las cuales se encuentran en Israel", dijo el analista senior de e-amenazas de Bitdefender Bogdan Botezatu a Threatpost. "También suponemos que esta aplicación se dirige a varias víctimas clave con fines de espionaje o recopilación de datos. Dado que la aplicación registra llamadas telefónicas y exfiltra mensajes cortos, creemos que quien recibe la información tiene la capacidad de traducir y dar sentido a la información recopilada. La recopilación de dicha información en una variedad de idiomas no tiene ningún valor comercial real, y un equipo local de atacantes debe tener fluidez en docenas de idiomas para obtener información valiosa ".

El servidor de C & C al que la aplicación está enviando los datos recopilados está operativo, y la campaña está en curso, según Bitdefender. Sin embargo, el alcance total de las técnicas de proliferación de Triout, así como su procedencia, es turbio, dijeron los investigadores.

"Es interesante que Triout, es detectado por los algoritmos de aprendizaje automático de Bitdefender, se presentó primero desde Rusia, y la mayoría de los escaneos / informes provenían de Israel", señalaron los investigadores en un análisis técnico [PDF] del código publicado. "La primera aparición de la muestra parece ser el 15 de mayo de 2018, cuando se cargó en VirusTotal, pero no está claro cómo se disemina la muestra contaminada. Es probable que se utilicen mercados de terceros u otros dominios controlados por atacantes para alojar la muestra ".

El malware se observó por primera vez en una aplicación, suplantando a una aplicación legítima de Android llamada "Sex Game". Estuvo disponible en la tienda de Google Play a partir de 2016, pero desde entonces se ha eliminado.

"La aplicación de malware es casi idéntica a la aplicación original, tanto en código como en funcionalidad, a excepción de la carga maliciosa", según Bitdefender. "Comenzando desde el icono de la aplicación hasta las pantallas en la aplicación, la versión maliciosa parece conservar toda la funcionalidad original, posiblemente para no despertar sospechas en la víctima".

Ha sido complicado para los investigadores estimar la propagación del malware desde que se eliminó la aplicación de Play Store, Botezatu dijo que los actores de la amenaza podrían estar preparándose para una ofensiva mucho más sólida.

"Suponemos que los atacantes ahora han encontrado un mecanismo de entrega alternativo, como las páginas web que controlan", dijo en una entrevista. "Desde el descubrimiento, no pudimos aislar archivos similares de nuestro zoológico de malware, y al principio pensamos que este proyecto fue abandonado. Sin embargo, la infraestructura de comando y control de C & C que recopila la información exfiltrada por el malware está operativa y se actualizó en mayo. Esto nos lleva a pensar que el proyecto está vivo, pero las muestras se difunden de forma controlada para evitar que lleguen a manos de los investigadores de seguridad. La muestra que tenemos podría haber sido una versión alfa del código cargado en la tienda durante la etapa de prueba ".

Esta conclusión se ve reforzada por el hecho de que, si bien el malware tiene la capacidad de ocultarse, no lo hace; en la muestra que encontró Bitdefender, el acceso completo al código fuente está disponible simplemente desempacando el archivo .apk. Esto sugiere que el marco puede ser una fase de trabajo en progreso o de prueba.

"Aunque este troyano es extremadamente potente y tiene la capacidad de grabar y cargar llamadas telefónicas, así como de usar cámaras y abrirse paso en Play Store, su código se dejó completamente sin ofuscar", dijo Botezatu. "Personalmente creo que estamos viendo una versión alfa de una herramienta de espionaje más grande y más potente".

No hay comentarios:

Publicar un comentario