sábado, 1 de enero de 2011

"Geinimi" troyano para Android con capacidad para recibir órdenes

Recientemente se ha observado un nuevo ejemplar de Troyano para la plataforma móvil Android con ciertas características similares a las encontradas en el malware asociado a botnets.

El primer avistamiento fue efectuado por la empresa china de seguridad NetQin. A principios de diciembre ya se publicó una noticia en CNETNews China sobre este malware alertando de su existencia.

El ejemplar, estudiado por investigadores de la empresa LookOut, es más sofisticado de lo habitual ya que permite una vez instalado en el dispositivo de la víctima recibir comandos desde un servidor remoto de control.

El resto de características presenta los puntos comunes y esperables en este tipo de malware: El troyano va insertado en aplicaciones reempaquetadas y que presentan un aspecto "sano", descargables desde páginas chinas de aplicaciones para Android.

De hecho, el ejemplar, en principio solo afecta al público chino. Tras la instalación y la solicitud al usuario de los permisos y excepciones de seguridad, el ejemplar se dedica a recabar datos sobre el terminal como el IMEI, el IMSI (número de identificación de la SIM) o la geolocalización del usuario entre otros. También reseñar que el troyano puede desinstalar e instalar aplicaciones, aunque para ello necesite el permiso del usuario.

Geinimi viene con una lista de unos diez dominios preconfigurados a los que interroga cada 5 minutos. Si uno de ellos responde el troyano envía los datos capturados al servidor.

El bytecode de Geinimi está ofuscado y partes de la comunicación entre el troyano y el servidor de control se envían y reciben cifradas como medio de defensa frente a análisis.

El antivirus de Microsoft ha sido de los primeros (y únicos) en detectar este malware por firma:
http://www.virustotal.com/file-scan/report.html?id=e464c07435efab5ff471c148789c7ddff12f2d530f69b0eab731e7c9416cd673-1293778805


David García
dgarcia@hispasec.com



No hay comentarios:

Publicar un comentario en la entrada