Hace unos días, Google anunciaba el descubrimiento de un nuevo malware para Android. Se trata de una aplicación maliciosa cuya misión es recopilar todo tipo de información personal sobre la víctima para después transmitirla al atacante.
El malware implementa rutinas para capturar datos de las principales aplicaciones de mensajería: WhatsApp, Telegram, Messenger, Skype, GMail, etc.
Además, permite controlar de forma remota la cámara, el micrófono y acceder a los archivos del dispositivo y a su localización.
Aunque no se conoce con seguridad su procedencia, los investigadores de Android Security han encontrado en su código referencias a Equus Technologies, una empresa israelí especializada en el desarrollo de herramientas de vigilancia. De hecho, para la investigación sobre Lipizzan se han utilizado las mismas técnicas que en el estudio de otras infecciones recientes como Chrysaor, desarrollada por NSO Group.
Cómo infecta Lipizzan
- Una primera etapa, en la que la víctima descarga e instala la aplicación.
- Una segunda, etapa en la que tras comprobar que el dispositivo es vulnerable, descarga las instrucciones necesarias para rootear el dispositivo y controlarlo.
Extensiones de los archivos objetivo
«extensions»: [«3dm», «3ds», «3fr», «3g2», «3gp», «3gpp», «3pr», «7z»,
«ab4», «accdb», «accde», «accdr», «accdt», «ach», «acr», «act», «adb»,
«ads», «agdl», «ai», «ait», «al», «apj», «arw», «asf», «asm», «asp», «asx»,
«avi», «awg», «back», «backup», «backupdb», «bak», «bank», «bay», «bdb»,
«bgt», «bik», «bkp», «blend», «bpw», «c», «cdf», «cdr», «cdr3», «cdr4»,
«cdr5», «cdr6», «cdrw», «cdx», «ce1», «ce2», «cer», «cfp», «cgm», «cib»,
«class», «cls», «cmt», «cpi», «cpp», «cr2», «craw», «crt», «crw», «crypt5»,
«crypt6», «crypt7», «crypt8», «cs», «csh», «csl», «csv», «dac», «db», «db-journal»,
«db3», «dbf», «dc2», «dcr», «dcs», «ddd», «ddoc», «ddrw», «dds», «der», «des»,
«design», «dgc», «djvu», «dng», «doc», «docm», «docx», «dot», «dotm», «dotx», «drf», «drw», «dtd», «dwg», «dxb», «dxf», «dxg», «eml», «eps», «erbsql», «erf», «exf», «fdb», «ffd», «fff», «fh», «fhd», «fla», «flac», «flv», «fpx», «fxg», «gray», «grey», «gry», «h», «hbk», «hpp», «ibank», «ibd», «ibz», «idx», «iif», «iiq», «incpas», «indd», «java», «jpe», «kc2», «kdbx», «kdc», «key», «kpdx», «lua», «m», «m4v», «max», «mdb», «mdc», «mdf», «mef», «mfw», «mmw», «moneywell», «mos», «mov», «mp3», «mp4», «mpg», «mrw», «mrw», «msg», «myd», «nd», «ndd», «nef», «nk2», «nop», «nrw», «ns2», «ns3», «ns4», «nsd», «nsf», «nsg», «nsh», «nwb», «nx2», «nx1», «nyf», «oab», «obj», «odb», «odc», «odf», «odg», «odm», «odp», «ods», «odt», «oil», «orf», «ost», «otg», «oth», «otp», «ots», «ott», «p12», «p7b», «p7c», «pab», «pages», «pas», «pat», «pcd», «pct», «pdb», «pdd», «pdf», «pef», «pem», «pfx», «php», «pl», «plc», «pot», «potm», «potx», «ppam», «pps», «ppsm», «ppsx», «ppt», «pptm», «pptx», «prf», «ps», «psafe3», «psd», «pspimage», «pst», «ptx», «py», «qba», «qbb», «qbm», «qbr», «qbw», «qbx», «qby», «r3d», «raf», «rar», «rat», «raw», «rdb», «rm», «rtf», «rw2», «rw1», «rwz», «s3db», «sas7bdat», «say», «sd0», «sda», «sdf», «sldm», «sldx», «sql», «sqlite», «sqlite3», «sqlitedb», «sr2», «srf», «srt», «srw», «st4», «st5», «st6», «st7», «st8», «stc», «std», «sti», «stw», «stx», «svg», «swf», «sxc», «sxd», «sxg», «sxi», «sxm», «sxw», «tex», «tga», «thm», «tlg», «txt», «vob», «wallet», «wav», «wb2», «wmv», «wpd», «wps», «x11», «x3f», «xis», «xla», «xlam», «xlk», «xlm», «xlr», «xls», «xlsb», «xlsm», «xlsx», «xlt», «xltm», «xltx», «xlw», «ycbcra», «yuv», «zip»],
«blacklist_apps»: [«org.antivirus», «com.antivirus», «com.avast.android.mobilesecurity», «com.cleanmaster.security», «com.avira.android», «com.trustgo.mobile.security», «com.kms.free», «com.kaspersky.kes», «com.kaspersky.lightscanner», «com.cleanmaster.mguard», «com.lookout.enterprise», «com.wsandroid.suite», «com.eset.ems2.gp», «com.symantec.enterprise.mobile.security», «com.qihoo.security»,
«org.malwarebytes.antimalware», «com.trendmicro.tmmssuite.mdm», «com.trendmicro.virdroid», «com.bitdefender.antivirus», «com.zimperium.zips», «com.psafe.msuite», «com.sophos.smsec», «com.drweb», «com.drweb.mcc», «com.bullguard.mobile.mobilesecurity», «com.bullguard.mobilebackup», «net.nshc.droidx3», «net.nshc.droidx3web», «com.sophos.appprotectionmonitor», «com.sophos.smsec», «com.sophos.mobilecontrol.client.android», «com.sophos.smenc», «com.comodo.cisme.antivirus», «com.quickheal.platform», «com.mobandme.security.virusguard», «de.gdata.mobilesecurity», «de.gdata.securechat», «com.webroot.security.sme», «com.webroot.secureweb», «com.ahnlab.v3mobileplus», «com.antiy.avlpro», «com.antiy.avl»],
Servidor de contacto
«api_url»: «https://vps.equus-tech.com:44001»,
Algunas muestras de Lipizzan
Primeras versiones de Lipizzan
Versiones actualizadas de Lipizzan
Deja una respuesta