viernes, 24 de agosto de 2018

Triout, un nuevo Spyware para dispositivos Android

BitDefender ha identificado un nuevo malware para los dispositivos Android. Esta vez se trata de un software espía al que han bautizado como Triout.



Android, como líder del mercado de los sistemas operativos móviles, es el principal objetivo de los creadores de malware, que dirigen sus ataques a estas plataformas para conseguir sus metas, ya sea espiar, robar o manipular datos.

La muestra en cuestión ha sido detectada gracias a los algoritmos de aprendizaje de BitDefender y aunque no han especificado de qué muestra se trata, aseguran (y llama la atención) que las primeras muestras fueron enviadas a VirusTotal desde Rusia y que los análisis e informes provenían de Israel.

El malware descubierto suplanta una aplicación llamada ‘Sex Game’, utilizada por el atacante para atraer la atención de las víctimas. Esta aplicación presenta algunas diferencias respecto a la original: pide más permisos durante su instalación y se compone de más ficheros. También llama la atención que la aplicación está firmada con el certificado de debug de Google, cuyo SHA-1 es: 61ed377e85d386a8dfee6b864bd85b0bfaa5af81.



Icono de ‘Triout’ y de la aplicación suplantada, extraída de https://www.bitdefender.es/

Paquetes de ‘Triout’, extraída de https://www.bitdefender.es/



La principal funcionalidad del malware es el espionaje de las víctimas. Para ello, el malware recopila todo tipo de información personal y la envía a un servidor de C&C controlado por el atacante:

  • Capacidad de ocultación.
  • Grabación de las llamadas entrantes y salientes del dispositivo, que son enviados a ‘incall3.php’ y ‘outcall3.php’.
  • Recepción y envío de SMS que son enviados a ‘script3.php’.
  • Recogida del registro de llamadas que envían a ‘calllog.php’.
  • Captura de las fotografías y vídeos grabados por el usuario, aunque también puede tomar fotografías y grabaciones que son enviados a ‘uppc.php’, ‘finpic.php’ y ‘reqpic.php’.
  • Captura de las coordenadas GPS que son enviadas a ‘gps3.php’.


Ejemplo del código de 'Triout', extraída de https://www.bitdefender.es/


Jose Ignacio Palacios
jipalacios@hispasec.com
@jpalaciosortega

Más información:

BitDefender, noticia de Triout:
https://labs.bitdefender.com/wp-content/uploads/downloads/triout-the-malware-framework-for-android-that-packs-potent-spyware-capabilities/