domingo, 20 de agosto de 2017

El troyano Faketoken evoluciona y apunta a nuevos objetivos

Investigadores de seguridad de Kaspersky han descubierto una nueva variante del troyano Faketoken llamado Faketoken.q el cuál es capaz de detectar y grabar todas las llamadas telefónicas que se realizan con el dispositivo infectado. Además ataca a aplicaciones móviles que hagan uso de pagos con tarjeta.



El vector de ataque usado son los SMS. En ellos solicitan a los usuarios móviles descargar una imagen, que acaba siendo el punto de entrada del malware en el dispositivo.

Los investigadores aseguran que ha sido diseñado para usuarios rusos por lo que utiliza tal idioma como lenguaje principal en su interfaz.

Como graba las conversaciones telefónicas


Una vez descargado, el malware instala los módulos necesarios y el payload principal en el smartphone.

Cuando una llamada comienza en el dispositivo infectado, el malware comienza a grabarla y la envía simultáneamente al servidor principal del atacante.

Superposición de aplicación para robar credenciales de tarjetas de crédito

Además de la característica anteriormente mencionada, Faketoken.q comprueba que aplicaciones se están usando en el smartphone. En caso de que alguna aplicación tenga una interfaz simulable por el troyano, este superpone una falsa interfaz para el robo de información.

Para conseguir esto, el troyano usa una opción de Android - que usan otras muchas aplicaciones y malware - para colocar la ventana por delante de las demás.

La falsa interfaz aparece para que la víctima introduzca sus datos bancarios y estos puedan llegar a usarse más adelante para realizar transacciones fraudulentas.


La muestra analizada por Kaspersky puede encontrarse en Koodous: