El Laboratorio de Hispasec no para

Nuestro Laboratorio Técnico no para nunca, una buena muestra de ello es su blog, en el que con frecuencia ofrecen interesantes artículos técnicos y análisis de nuevas muestras de malware.

A mediados de octubre nuestros compañeros del Laboratorio descubríeron el gusano para Android Curiosity que ha conseguido un gran número de infecciones.

El comportamiento de Curiosity es grave para el usuario, ya que una vez infecta a la víctima obtiene una lista de todos los contactos registrados en el teléfono y se envía a si mismo a través de enlaces en SMSs y phishing. Esto le ha permitido conseguir distribuirse rápidamente en diferentes dispositivos y crear una amplia red de terminales infectados.

Entre los mensajes utilizados para distribuirse, encontramos uno de ellos en español, por lo que es posible que este troyano se esté distribuyendo por países hispano-parlantes: El mensaje en español empleado para su propagación es

"Hola He encontrado aquí sus fotos privadas
http://bit.ly/XXXXX
clic para ver".

Además del control sobre las llamadas, también facilita el envío al atacante de información como contactos, SMS almacenados, historial de llamadas grabadas, IMEI, modelo, sistema operativo, red conectada, teléfono, país…

En otra interesante entrada se nos muestra cómo integrar las detecciones de Koodous en el flujo de negocio. Se trata de unas ideas para automatizar la detección de reglas Yara en Koodous. Una forma sencilla de utilizar la API que provee Koodous para extraer todas las aplicaciones detectadas por una regla.

Sin duda, el malware y su análisis se lleva una gran parte de las entradas del blog. A finales de octubre se desgranaba el comportamiento de un gusano para Android que aprovechaba la ingeniería social para distribuirse con gran efectividad, mediante el conocido truco de "¡Mira esta foto!".

Para comenzar noviembre nuestro Laboratorio ofrecía un análisis de Exaspy, un nuevo malware espía para Android. En esta ocasión, la aplicación se hace pasar por Google Play Services, aunque con la recomendación habitual de comprobar el autor y el nombre del paquete se puede ver que no coinciden con el original.

Entre las posibilidades de este malware, se incluye la posibilidad de grabar audio, dentro y fuera de las llamadas, recolección de mensajes SMS/MMS y de aplicaciones como WhatsApp. La lista completa de aplicaciones espiadas incluye: email, Facebook Messenger, Gmail, Hangouts, Keep, PayBox, Skype, Viber y WhatsApp.

Otras funcionalidades de este malware incluyen:

Recolección de mensajes, acceso al historial del navegador
Obtención de fotos de la galería del dispositivo
Control de la cámara, y micrófono del dispositivo
Capturas de pantalla del dispositivo
Acceso a la localización del dispositivo
Recolección de contraseñas almacenadas en el dispositivo (WiFi)
Acceso a la shell del sistema afectado

También podemos ver como el ransomware afecta cada vez más a Android. De nuevo hay que prestar atención a los mensajes que recibimos, pues descubrimos como un Ransomware se hace pasar por un falso correo de una factura de Amazon para infectar.

La última y más reciente de las entradas del blog nos enseña como una aplicación destinada supuestamente a obtener tarjetas de crédito válidas para realizar compras on-line en realidad esconde un peligroso malware. Lo que englobaríamos dentro del "Carding", es decir, el uso ilegitimo de tarjetas de crédito o sus números, pertenecientes a otras personas.

Una de las características de este malware es la de keylogger, pero éste solo actúa en determinadas situaciones. Por ejemplo, cuando detecta que se está visitando la página de las siguientes webs: