SpyDealer: Este malware roba datos de 40 aplicaciones, incluyendo mensajes y ubicación


El malware “SpyDealer” ha estado activo desde octubre de 2015 y los investigadores aún no están seguros de cómo infecta a las víctimas.

Una forma recién descubierta de malware para Android tiene como objetivo robar datos de más de 40 aplicaciones populares como Facebook, WhatsApp, Skype y Firefox, este troyano ha participado activamente en esta actividad ilícita durante casi dos años.

Apodado SpyDealer por los investigadores de Palo Alto Networks que lo descubrieron, el malware recolecta vastas cuentas de información personal sobre usuarios comprometidos, incluyendo números de teléfono, mensajes, contactos, historial de llamadas, información wi-fi conectada e incluso la ubicación del dispositivo.

Las capacidades de espionaje del troyano también le permiten grabar llamadas telefónicas y vídeos, junto con el audio y el vídeo circundantes, tomar fotos con cámaras delanteras y traseras, tomar capturas de pantalla de información sensible y monitorear la ubicación de los dispositivos en todo momento.

Descrito como una forma avanzada de malware para Android, SpyDealer es capaz de abrir una puerta trasera en dispositivos comprometidos al abusar de una función de servicio de accesibilidad Android comercialmente disponible para que los teléfonos raíz proporcionen privilegios de superusuario.

Las muestras del malware analizadas por los investigadores sugieren que el malware reutiliza exploits, por la aplicación de enraizamiento comercial “Baidu Easy Root” para mantenerse en el dispositivo comprometido mientras recoge información personal y espía las comunicaciones de las aplicaciones con privilegios de root.

Al igual que muchas otras formas de malware, SpyDealer es capaz de recibir instrucciones de un servidor de comandos y control, así como comandos por mensaje de texto, para que los que están detrás de él alteren la información que recopilan o controlen remotamente el dispositivo infectado.

SpyDealer se describe como “sólo completamente eficaz” contra los dispositivos Android que ejecutan versiones entre 2.2 y 4.4 ya que la herramienta de enraizamiento que explota sólo admite estas versiones del sistema operativo.

Aunque estas versiones de Android son formas más antiguas del sistema operativo, Android 2.2 fue lanzado por primera vez en mayo de 2010 y Android 4.4 fue lanzado a finales de 2013, dicen los investigadores que un cuarto de los dispositivos Android en todo el mundo siguen ejecutando sistemas operativos entre estas fechas.

Con dos mil millones de dispositivos Android activos, eso significa potencialmente que 500 millones de dispositivos Android son vulnerables a tener datos confidenciales robados si se ven sometidos a ataques de este troyano.

Los investigadores permanecen inseguros en cuanto a cómo los dispositivos se infectan con SpyDealer, pero la evidencia sugiere que los usuarios chinos infectan a través de las redes inalámbricas comprometidas.

Cualquiera que sea la forma en que se distribuya este troyano, los que están detrás de SpyDealer han estado llevando a cabo su nefasta actividad durante más de un año y medio, con la muestra más antigua del malware familiy que se remonta a octubre de 2015. Los que están detrás de SpyDealer siguen actualizando activamente el malware, El más reciente visto por los investigadores creados en mayo de 2017.

Palo Alto Networks ha reportado la amenaza a Google, que ha creado nuevas protecciones a través de Google Play Protect para protegerse contra la amenaza.

Muchas de las aplicaciones dirigidas son nativas de China, pero una gran cantidad son aplicaciones utilizadas en todo el mundo.

Según los investigadores, SpyDealer intenta robar datos de aplicaciones que incluyen WeChat, Facebook, WhatsApp, Skype, Línea, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo, Navegador Nativo de Android, Navegador de Firefox, Oupeng Brower, NetEase Mail, Taobao y Baidu Net Disk.

Vía |zdnet

log in

reset password

Back to
log in