Zeus, Android y el robo información

Zeus, Android y el robo información

Los usuarios de Android, la plataforma móvil de Google, son víctimas de una nueva amenaza, Zeus, que en su versión 2.1.0.10, no solo ataca a las computadoras, sino que también apunta contra los smartphones; pero todo esto tiene un porqué… El motivo por el cual observamos este tipo de ataques, es para vulnerar el mecanismo

Los usuarios de Android, la plataforma móvil de Google, son víctimas de una nueva amenaza, Zeus, que en su versión 2.1.0.10, no solo ataca a las computadoras, sino que también apunta contra los smartphones; pero todo esto tiene un porqué… El motivo por el cual observamos este tipo de ataques, es para vulnerar el mecanismo

Los usuarios de Android, la plataforma móvil de Google, son víctimas de una nueva amenaza, Zeus, que en su versión 2.1.0.10, no solo ataca a las computadoras, sino que también apunta contra los smartphones; pero todo esto tiene un porqué…

El motivo por el cual observamos este tipo de ataques, es para vulnerar el mecanismo de doble autenticación implementado por los bancos. Esta metodología de acceso, provee además de la clave tradicional de home banking, un número aleatorio que se envía a un teléfono celular, buscando así minimizar el robo de contraseñas y proteger la información de los usuarios.

Desde un equipo infectado con esta variante de Zeus, se efectúa el robo del número de teléfono del usuario y sus credenciales de acceso, en el momento que intenta acceder a su banca electrónica. Luego, el usuario recibe una supuesta aplicación de seguridad a través de un mensaje de texto, que en realidad es un troyano, detectado por ESET Mobile Security como Spy.SmsSpy.

Veamos ahora cómo funciona esta amenaza móvil.

Una vez que la aplicación es instalada en el dispositivo móvil, intercepta todos los mensajes de texto recibidos y los redirecciona a una página web, sin el conocimiento ni consentimiento del usuario. Pero, ¿cómo es la metodología de esta amenaza?

En primer lugar, para poder funcionar correctamente, el código malicioso solicita acceso a los mensajes de texto, el estado del teléfono y la conexión a Internet. Estos tres permisos son todo lo que necesita para llevar a cabo el robo de información:

Una vez que el código maliciosos inicia su ejecución, captura todos los mensajes de texto y los reenvía a través de la conexión a Internet. Cómo podrán ver a continuación analizamos el funcionamiento de esta amenaza y pudimos detectar cómo es que efectúa el robo de información.

En primer instancia seenvía un mensaje de texto a un equipo infectado, simulando ser un código de confirmación, en dónde se especifica un número de teléfono y el contenido el mensaje:

Cuando se recibe el mensaje de texto en el dispositivo móvil, este es interceptado por el código malicioso mediante la utilización de una técnica similar a la utilizada por Raden, un troyano sms para Android. Una diferencia puntual con Raden, es que se interceptan y reenvían todos los mensajes de texto mientras la aplicación maliciosa se encuentre en ejecución.

Todos los mensajes recibidos son reenviados a una página web, conteniendo el número del receptor y el cuerpo del mensaje. A través del análisis del tráfico de red se puede identificar el envío de información tal cuál había sido recibida por el dispositivo. Esta acción puede ser realizada debido a que la aplicación cuenta con permisos para ello.

Finalmente, lo que suponía ser una aplicación de seguridad para el usuario, es en realidad una amenaza orientada al robo de su información bancaria, atacando, una vez más, a las medidas de seguridad provistas por los bancos. Utilizando códigos maliciosos tanto para computadoras como para dispositivos móviles los atacantes intentan engañar al usuario y acceder a sus cuentas bancarias.

Desde hace ya un tiempo atrás, se habían detectado y reportado combinaciones similares de Zeus, que involucraban a otras plataformas móviles como BlackBerry, Symbian y Windows Mobile. Ahora, los desarrolladores de códigos maliciosos han sumado a Android como otro posible vector de ataque.

Zeus es un malware complejo, que atenta contra los usuarios a través de cualquier medio a su alcance, ya sean equipos de escritorio o dispositivos móviles, es por ello que recomendamos al usuario contar con una solución de seguridad que lo proteja contra estas amenazas.

Pablo Ramos
Especialista en Awareness & Research

Discusión