Zeus, Android y el robo información

Los usuarios de Android, la plataforma móvil de Google, son víctimas de una nueva amenaza, Zeus, que en su versión 2.1.0.10, no solo ataca a las computadoras, sino que también apunta contra los smartphones; pero todo esto tiene un porqué…

El motivo por el cual observamos este tipo de ataques, es para vulnerar el mecanismo de doble autenticación implementado por los bancos. Esta metodología de acceso, provee además de la clave tradicional de home banking, un número aleatorio que se envía a un teléfono celular, buscando así minimizar el robo de contraseñas y proteger la información de los usuarios.

Desde un equipo infectado con esta variante de Zeus, se efectúa el robo del número de teléfono del usuario y sus credenciales de acceso, en el momento que intenta acceder a su banca electrónica. Luego, el usuario recibe una supuesta aplicación de seguridad a través de un mensaje de texto, que en realidad es un troyano, detectado por ESET Mobile Security como Spy.SmsSpy.

Veamos ahora cómo funciona esta amenaza móvil.

Una vez que la aplicación es instalada en el dispositivo móvil, intercepta todos los mensajes de texto recibidos y los redirecciona a una página web, sin el conocimiento ni consentimiento del usuario. Pero, ¿cómo es la metodología de esta amenaza?

En primer lugar, para poder funcionar correctamente, el código malicioso solicita acceso a los mensajes de texto, el estado del teléfono y la conexión a Internet. Estos tres permisos son todo lo que necesita para llevar a cabo el robo de información:

Una vez que el código maliciosos inicia su ejecución, captura todos los mensajes de texto y los reenvía a través de la conexión a Internet. Cómo podrán ver a continuación analizamos el funcionamiento de esta amenaza y pudimos detectar cómo es que efectúa el robo de información.

En primer instancia seenvía un mensaje de texto a un equipo infectado, simulando ser un código de confirmación, en dónde se especifica un número de teléfono y el contenido el mensaje:

Cuando se recibe el mensaje de texto en el dispositivo móvil, este es interceptado por el código malicioso mediante la utilización de una técnica similar a la utilizada por Raden, un troyano sms para Android. Una diferencia puntual con Raden, es que se interceptan y reenvían todos los mensajes de texto mientras la aplicación maliciosa se encuentre en ejecución.

Todos los mensajes recibidos son reenviados a una página web, conteniendo el número del receptor y el cuerpo del mensaje. A través del análisis del tráfico de red se puede identificar el envío de información tal cuál había sido recibida por el dispositivo. Esta acción puede ser realizada debido a que la aplicación cuenta con permisos para ello.

Finalmente, lo que suponía ser una aplicación de seguridad para el usuario, es en realidad una amenaza orientada al robo de su información bancaria, atacando, una vez más, a las medidas de seguridad provistas por los bancos. Utilizando códigos maliciosos tanto para computadoras como para dispositivos móviles los atacantes intentan engañar al usuario y acceder a sus cuentas bancarias.

Desde hace ya un tiempo atrás, se habían detectado y reportado combinaciones similares de Zeus, que involucraban a otras plataformas móviles como BlackBerry, Symbian y Windows Mobile. Ahora, los desarrolladores de códigos maliciosos han sumado a Android como otro posible vector de ataque.

Zeus es un malware complejo, que atenta contra los usuarios a través de cualquier medio a su alcance, ya sean equipos de escritorio o dispositivos móviles, es por ello que recomendamos al usuario contar con una solución de seguridad que lo proteja contra estas amenazas.

Pablo Ramos
Especialista en Awareness & Research

Autor , ESET

  • Ok pero veo que la app necesita ser instalada con el permiso del usuario y ademas no deberia estar en el market oficial de Android y si esta ya no deberia estar disponible,

    Ademas no especifica en cual versiones de Android afecta, ya que muchos fallos fueron arreglados en Gingerbread (android 2.3)

    No esta mal el articulo pero deberian poner mayor especificaciones de todos modos revisare el market y la denunciaré si esta linkeando este post

    Saludo

    • Hola,

      Si, la aplicación necesita de la interacción del usuario para su propagación. Se trata de un troyano, que simula ser una aplicación benigna cuando en realidad oculta su comportamiento. El post se centró en el análisis de la muestra, más allá de la introducción sobre la metodología de propagación de Zeus.

      Para que un usuario reciba el sms con el enlace al troyano, debe acceder a su banca electrónica desde un equipo infectado con esta versión de Zeus, es un ataque que se puede crear con el Crimepack de la versión 2.1.0.10.

      Por los permisos y las actividades que efectúa el troyano, es indistinto la versión y funciona para la mayoría de las versiones. No explota ninguna vulnerabilidad simplemente utiliza un Receiver para disparar la ejecución del código malicioso que cancela el BroadCast y reenvía la información.

      Espero haber aclarado tus dudas.

      Muchas gracias por tu comentario.

      Saludos,

      Pablo

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Amenazas móviles, una tendencia que crece()

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » SpyEye en Android, suguiendo los pasos de Zeus()

  • Pingback: Seguridad móvil: consejos y vulnerabilidades | Carlos A. Solís S.()

Síguenos