Troyano Krysanec: backdoor para Android oculto en apps legítimas

Uno de los consejos más importantes que damos a los usuarios de Android es que eviten descargar aplicaciones provenientes de fuentes dudosas y que se atengan a la tienda oficial de Google Play. Allí también aparece malware de vez en cuando, pero está mucho más controlado (gracias al Google Bouncer) que en las tiendas de aplicaciones móviles alternativas.Sberbank-mobile-banking-app

Uno de los fragmentos de código malicioso para Android que descubrimos constituye un buen ejemplo para enfatizar este consejo. Encontramos un RAT, o troyano de acceso remoto (por sus siglas en inglés), que se hace pasar por varias aplicaciones legítimas para Android. En la imagen de la derecha vemos una captura de pantalla de la aplicación móvil Sberbank para realizar transacciones bancarias, utilizada en la propagación de Android/Spy.Krysanec.

Observemos más de cerca la forma en que se propaga este malware, lo que hace y su conexión con una noticia que hace poco llegó a primera plana.

Vectores de distribución

Uno de los vectores de infección más comunes del malware para Android es hacerse pasar por una aplicación móvil legítima popular (desde diversos juegos a otros programas de software de distintos tipos de utilidad). A menudo, la funcionalidad legítima está presente, pero incluye un componente malicioso agregado: la esencia misma de un troyano.

Con frecuencia, la aplicación pretende ser una versión pirateada gratuita de una aplicación popular paga (por lo que el peligro es mayor en tiendas y foros no tan confiables de aplicaciones móviles), pero ciertamente ésta no es una regla excluyente.

Este troyano de puerta trasera o backdoor, detectado por ESET como Android/Spy.Krysanec, se encontró en una modificación maliciosa de MobileBank (una aplicación móvil para realizar operaciones bancarias del banco ruso Sberbank), 3G Traffic Guard (una aplicación móvil para monitorear el uso de datos) y algunas otras, incluyendo nuestro propio programa ESET Mobile Security.

spaces.ru-hosting-android-spy.krysanec

El ecosistema de aplicaciones móviles para Android ofrece una medida de contrapartida confiable ante dichas modificaciones maliciosas o ilegítimas: firma digitalmente las aplicaciones con los certificados reales de los desarrolladores.

Como es de esperar, las versiones de aplicaciones que incluían a Krysanec no contenían certificados válidos. Sin embargo, está de más decir que no todos los usuarios analizan de cerca las aplicaciones que instalan en sus smartphones, en especial quienes buscan aplicaciones móviles en fuentes dudosas, ya sea porque pretenden conseguir versiones pirateadas de aplicaciones pagas o por cualquier otra razón.

Descubrimos que el malware se distribuía a través de diversos canales, incluyendo un sitio típico para compartir archivos (como Warez) y una red social rusa. Las siguientes capturas de pantalla muestran una cuenta utilizada para alojar al troyano, que se oculta al acecho dentro de aplicaciones móviles legítimas:

Spaces.ru-hosting-trojan
Funcionalidad

Las aplicaciones infectadas contenían la versión de Android del troyano de acceso remoto (RAT) Unrecom, una herramienta de acceso remoto para varias plataformas.

Específicamente, Android/Spy.Krysanec tiene la habilidad de recopilar varios tipos de datos desde el dispositivo infectado, conectarse a su servidor de comando y control (C&C), y descargar y ejecutar otros módulos de complementos.

Los módulos le otorgan al backdoor el acceso necesario al dispositivo para:

  • Tomar fotografías
  • Grabar audio a través del micrófono
  • Obtener la ubicación actual por GPS
  • Obtener una lista de las aplicaciones instaladas
  • Obtener una lista de las páginas Web abiertas
  • Obtener una lista de las llamadas realizadas
  • Obtener la lista de contactos
  • Leer los SMS (comunes o de WhatsApp)
  • Entre muchas otras cosas…

Android-Spy.Krysanec-control-panel
Servidores de comando y control

Lo interesante es que algunas de las muestras que analizamos se conectaban a un servidor de comando y control alojado en un dominio perteneciente al proveedor de direcciones DNS dinámicas no-ip.com. No-IP llegó a las noticias hace poco cuando la Unidad de Crímenes Digitales de Microsoft tomó el control de 22 dominios de la empresa utilizados para distribuir malware. No obstante, Microsoft más tarde retiró los cargos.

A pesar de que las herramientas de acceso remoto para Android son menos comunes que su equivalente para equipos de escritorio con Windows, el mensaje principal es resaltar que los usuarios deben descargar no solo nuestra solución ESET Mobile Security  sino también todas las demás aplicaciones desde fuentes confiables (por ejemplo, desde la tienda oficial de Google Play). E incluso si lo hacen desde allí, siempre deben examinar cuidadosamente los permisos solicitados por la aplicación.

Recuerden también repasar estos 8 consejos para determinar si una aplicación para Android es legítima, para evitar amenazas en sus dispositivos móviles.

Traducción del post de Robert Lipovsky en We Live Security.

Autor Robert Lipovsky, ESET

Síguenos