martes, 10 de agosto de 2010

Android estrena su primer troyano mediático

En los laboratorios de Kaspersky se han topado esta semana con lo que podría ser el primer espécimen que afecta, de manera significativa, al sistema operativo para dispositivos móviles de Google: Android.

Era cuestión de tiempo que una plataforma como Android, con una cuota cada vez más amplia en el mercado de los smartphones, dejara de ser ignorada por los creadores de malware.

No obstante, sin explosión mediática, ya se tenía conocimiento de spyware en casos puntuales y pruebas de concepto como el rootkit presentado en la última edición de la conferencia BlackHat.

El recién bautizado SMS.AndroidOS.FakePlayer.a, con 13Kb de peso, se dedica una vez instalado en el sistema a enviar SMS indiscriminadamente a números con tarificación especial. Cobrados a algo más de 4 euros el mensaje. En principio sólo parece afectar a Rusia aunque no se descarta que aparezcan versiones adaptadas a otros países.

Llega con la forma de un reproductor multimedia y cuando se instala pide permiso para efectuar operaciones de acceso a la tarjeta de memoria, envío de SMS y consulta de datos sobre el dispositivo. Autorizaciones sospechosamente poco relacionadas con la prometida funcionalidad de reproducción multimedia.

A pesar de las advertencias del sistema, este tipo de solicitudes podrían ser ignoradas por el usuario medio que no suele reparar y pensárselo mucho antes de pulsar el "Aceptar" del cuadro de diálogo.

El troyano llegó por primera vez a VirusTotal.com el 4 de agosto, sin ser detectado por ningún antivirus. Poco después fue detectado por este orden, por Dr. Web, Kaspersky y VBA32, todos de factura rusa. Hispasec ha realizado un pequeño análisis de la muestra disponible desde:

http://www.hispasec.com/laboratorio/troyano_android.pdf

Se da la circunstancia que en el mismo día, la BBC ha publicado un reportaje donde se muestra la creación de una aplicación maliciosa, entre otros smartphones para Android, con funcionalidad de spyware.

A pesar de la coincidencia no está relacionado con el descubrimiento de Kaskersky. Se trata de una prueba de concepto para "demostrar lo fácil que es crear aplicaciones maliciosas para un smartphone".

Recordemos el reportaje del mismo estilo de marzo de 2009. En aquella ocasión la BBC diseminó un malware creado para la ocasión que llegó a infectar 20.000 usuarios y crear una botnet con ellos.

Con tiempo es de esperar que surja más malware para este tipo de dispositivos que día a día van ganando en usuarios.


David García
dgarcia@hispasec.com


Más información:

First SMS Trojan for Android
http://www.securelist.com/en/blog/2254/First_SMS_Trojan_for_Android

BBC writes smartphone spyware
http://www.sophos.com/blogs/gc/g/2010/08/10/bbc-writes-smartphone-spyware/

Analysis of Trojan-SMS.AndroidOS.FakePlayer.a
http://www.alienvault.com/blog/jaime/Malware/Analysis_of_Trojan-SMS.AndroidOS.FakePlayer.a.html

Resultados de SMS.AndroidOS.FakePlayer.a en VirusTotal:
http://www.virustotal.com/file-scan/report.html?id=14ebc4e9c7c297f3742c41213938ee01fd198dd4f4a5f188bbbb6ffcf4db5f14-1281468088

No hay comentarios:

Publicar un comentario en la entrada