martes, 24 de octubre de 2017

Sockbot, un malware para Android que conecta tu dispositivo a una botnet

Los investigadores de Symantec han informado sobre la presencia de muestras de Sockbot en el catálogo de Google Play. Sockbot es un malware capaz de registrar dispositivos en una botnet y realizar ataques de denegación de servicios distribuídos.


El malware ha conseguido disuadir los controles de seguridad de Google haciéndose pasar por una aplicación legítima para modificar 'skins' de Minecraft.

Aplicación maliciosa en Google Play (Fuente: https://www.symantec.com)


Además de eso, el código malicioso está ofuscado y sus 'strings' principales van cifradas, lo que dificulta su detección.

Según Symantec la infección se ha extendido ampliamente: alrededor de 2.6 millones de dispositivos desde EEUU y Rusia hasta Brasil y Alemania.

El nombre del malware ya deja adivinar lo que hace: Sockbot inicia un servicio proxy SOCKS en el dispositivo infectado. De este modo el atacante puede enviar anuncios desde el C&C y mostrarlos en los dispositivos infectados sin su consentimiento. Aunque la funcionalidad principal de Sockbot es la de mostrar anuncios, un atacante podría utilizar el mismo método para controlar un gran número de dispositivos infectados y realizar ataques de denegación de servicio distribuídos (DDoS).

Google ya ha retirado las ocho aplicaciones que habían conseguido colarse en su market y tomado las medidas oportunas contra su desarrollador 'FunBaster'.




Francisco Salido
fsalido@hispasec.com

Más información: