Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros, y que se liberan públicamente un mes más tarde.

Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.

*******

Negocios Seguros

mobile-malware

Malware en móviles.

Publicaba hace un rato un artículo sobre el BlackASO, el posicionamiento «de sombrero negro» de apps en entornos móviles.

Una investigación que he llevado a cabo estos días, inspirada en una de las charlas de la Rooted.

Y aunque me pareció profundamente interesante, para no «manchar» el sentido del artículo, he omitido otro tema que paso a comentarte por aquí.

Hablamos de cómo se propaga el malware sofisticado en Android e iOS, a colador de una nueva familia descubierta estos días por Kaspersky (EN).

El malware tiene el nombre marketiniano de Triada, y se vale de sus vasallos (hasta 11 familias distintas de troyanos) que son el Caballo de Troya del bicho.

Básicamente, alguno de estos troyanos infecta nuestro terminal. Son troyanos casi inofensivos, que a lo sumo te muestran algo más de publicidad y poco más.

Pero por debajo, instalan Triada, que recopila información crítica del SO (terminal, versión, …) y lo comparte con su centro de mando, con 17 servidores reconocidos, distribuido en varios países, para variar.

El centro de mando le envía una respuesta en forma de fichero de configuración con los siguientes pasos a seguir, que básicamente pasan por:

  • Auto-desinstalarse: quedando alojado en la memoria RAM del dispositivo (y por ende, bastante más complicado de localizar).
  • Modifica el proceso Zygote: un proceso de Android (EN), corrompiéndolo, y teniendo así acceso a prácticamente cualquier elemento del sistema.
  • Se hace con el control de la lista de procesos en ejecución: lo que le permite pasar desapercibido, y ocultar el resto de procesos que tenga que abrir para según qué acciones.
  • Instala en la memoria voluble distintos módulos, con distintas funcionalidades: que es donde está la chica del ataque: robo de credenciales, espionaje, inflado de recibos, botnet,… Un poco de todo, vamos.

El modo de monetización es generalmente el mismo, SMS. Teniendo control de la bandeja de entrada del SMS, ya no solo es que pueda contratar servicios premium con este servicio sin que el usuario se de cuenta, sino que además, realiza pagos in-app en aplicaciones de terceros, realizando un man in the middle de la pasarela, lo que significa que al usuario infectado le cobran esa supuesta compra a nombre del desarrollador de la aplicación, pero el desarrollador no recibe el dinero, yendo a parar a «vete tú a saber dónde…».

En fin, que esto dicho todo de forma muy resumida, pero para que estés al tanto de que hay piezas de código que en verdad son muy sofisticadas.

Y su objetivo no es el presidente de X país o X compañía, sino personas como tú y como yo.

P.D.: Por cierto, por si te lo preguntabas, la mejor defensa es tener actualizado Android. A partir de la 4.4, parece que esos troyanos iniciales tienen bastante más dificultad para escalar privilegios, y por ende, no suelen poder instalar por su cuenta Triada.

________

Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».

Banner negocios seguros