Nuevo Troyano apunta a Android con ROMs personalizadas
Investigadores de seguridad del proveedor de seguridad Lookout han identificado un troyano para Android que está dirigido a dispositivos con ROMs personalizada y emplea un nuevo truco para ejecutar su carga.
Denominado jSMSHider, el malware es distribuido por mercados Android alternativos, predominantemente en China, y como es usual viene incluido con aplicaciones legítimas.
"Hasta la fecha, hemos identificado ocho instancias separadas del jSMSHider y debido a que la distribución está limitada a mercados de aplicaciones dirigidos a los usuarios chinos de Android, la importancia de esta amenaza es baja," señalaron los investigadores de Lookout.
"Este Troyano, jSMSHider, afecta principalmente a los dispositivos en los cuales su propietario ha descargado una ROM personalizada o rooteado el teléfono," agregaron.
Las ROM personalizadas con versiones de Android, son compiladas y distribuidas por terceros, no por los fabricantes originales de los dispositivos. Una de las ROMs personalizadas más populares es la de CyanongenMod.
El troyano explota una fisura en el modelo de seguridad de Android en la cual cualquier aplicación firmada con la misma clave que la imagen del sistema tiene permisos elevados y (así) puede instalar y desinstalar otras aplicaciones sin requerir autorización.
Debido a que la mayoría de las claves privadas para las ROMs personalizadas están disponibles en el Android Open Source Project (AOSP), es sencillo para los creadores del troyano abusar de estas.
El troyano usa este truco para descargar una segunda carga en la ROM la que se comunica con un servidor remoto. Este componente puede leer, enviar y procesar mensajes SMS, instalar aplicaciones, abrir URLs en segundo plano e intercambiar mensajes cifrados con el servidor de Comando y Control (C&C).
"En tres de los ejemplos que encontramos, vimos que si jSMSHider no podía instalar exitosamente la segunda carga, aun podía enviar mensajes SMS y abrir una URL de forma silenciosa en segundo plano," advierte Lookout.
A pesar que esta versión particular del troyano es originada en China, tiene la capacidad de volverse internacional, como muchas anteriores. También describe que, como muchos investigadores de seguridad predijeron en los comienzos de Android, el malware prospera en esta plataforma gracias a que es abierta.
Traducción: Raúl Batista - Segu-Info
Autor: Lucian Constantin
Fuente: Softpedia
Denominado jSMSHider, el malware es distribuido por mercados Android alternativos, predominantemente en China, y como es usual viene incluido con aplicaciones legítimas.
"Hasta la fecha, hemos identificado ocho instancias separadas del jSMSHider y debido a que la distribución está limitada a mercados de aplicaciones dirigidos a los usuarios chinos de Android, la importancia de esta amenaza es baja," señalaron los investigadores de Lookout.
"Este Troyano, jSMSHider, afecta principalmente a los dispositivos en los cuales su propietario ha descargado una ROM personalizada o rooteado el teléfono," agregaron.
Las ROM personalizadas con versiones de Android, son compiladas y distribuidas por terceros, no por los fabricantes originales de los dispositivos. Una de las ROMs personalizadas más populares es la de CyanongenMod.
El troyano explota una fisura en el modelo de seguridad de Android en la cual cualquier aplicación firmada con la misma clave que la imagen del sistema tiene permisos elevados y (así) puede instalar y desinstalar otras aplicaciones sin requerir autorización.
Debido a que la mayoría de las claves privadas para las ROMs personalizadas están disponibles en el Android Open Source Project (AOSP), es sencillo para los creadores del troyano abusar de estas.
El troyano usa este truco para descargar una segunda carga en la ROM la que se comunica con un servidor remoto. Este componente puede leer, enviar y procesar mensajes SMS, instalar aplicaciones, abrir URLs en segundo plano e intercambiar mensajes cifrados con el servidor de Comando y Control (C&C).
"En tres de los ejemplos que encontramos, vimos que si jSMSHider no podía instalar exitosamente la segunda carga, aun podía enviar mensajes SMS y abrir una URL de forma silenciosa en segundo plano," advierte Lookout.
A pesar que esta versión particular del troyano es originada en China, tiene la capacidad de volverse internacional, como muchas anteriores. También describe que, como muchos investigadores de seguridad predijeron en los comienzos de Android, el malware prospera en esta plataforma gracias a que es abierta.
Traducción: Raúl Batista - Segu-Info
Autor: Lucian Constantin
Fuente: Softpedia
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!