22 nov 2014

NotCompatible: botnet para Android

Una versión nueva, más sofisticada y más sigilosa del troyano NotCompatible para Android [PDF], sigue reforzando una de las más longevas y avanzadas redes de bots móviles que jamás haya existido (desde mediados de 2012).

Haciéndose pasar por un "parche de seguridad" y distribuido a las víctimas a través de descargas no autorizadas de sitios web comprometidos y correos electrónicos spam desde cuentas comprometidas, NotCompatible.C muestra muchos cambios en comparación con las variantes anteriores.

El malware sirve como un proxy, y la red de bots (que se cree disponible para renta) es utilizada para campañas de spam, compra masiva de boletos, ataques de fuerza bruta (principalmente contra sitios WordPress) y para acceder a shells C99.

"Los operadores de malware para móviles no han hecho mucho para proteger su infraestructura o sus comunicaciones. NotCompatible.C, sin embargo, emplea una arquitectura de servidor de dos niveles", Tim Strazzere de Lookout explica la resistencia de la red de bots:
"El servidor de comando y control de la puerta de enlace utiliza un enfoque de balance de carga en el que los dispositivos infectados con direcciones IP de distintas regiones se filtran y segmentan geográficamente, sólo los clientes autenticados pueden conectarse. Este modelo no sólo brinda eficiencia de uso para el cliente, nuestra investigación sugiere que también ayuda en la prevención del descubrimiento. Tenemos la sospecha de que la puerta de enlace C2 hace más difícil para los sistemas de análisis de comportamiento e investigadores localizarlos a través del tráfico."
Además, todas las comunicaciones entre los clientes y los servidores de comando y control son cifradas y virtualmente indistinguibles de tráfico cifrado legítimo, señaló.

El dispositivo recibe un archivo de configuración desde el servidor de comando y control el cual incluye apuntadores a los demás servidores que se utilizan para controlar la botnet, pero también a otros clientes infectados. De esta manera puede ponerse en contacto con éstos últimos en caso de que su comunicación con los servidores de la lista haya sido bloqueada o impedida (por ejemplo, los servidores se han dado de baja por aplicación de la ley).

Además de ser una molestia obvia y un peligro para los usuarios de teléfonos regulares, NotCompatible también representa una amenaza para las redes corporativas.

"Creemos que NotCompatible ya está presente en muchas redes corporativas ya que hemos observado, a través de la base de usuarios de Lookout, cientos de redes corporativas con dispositivos que se han encontrado con NotCompatible" compartió Strazzere.

A pesar de que aún no se ha descubierto si se utiliza para atacar a redes protegidas, un dispositivo infectado con el malware que se conecte a la red de alguna organización, puede ser utilizado para enumerar equipos vulnerables dentro de la red, aprovechar vulnerabilidades, búsqueda de datos expuestos y otros.

Fuente: UNAM

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!