Análisis del spyware RCS Android de Hacking Team
Cada día se analiza más código de Hacking Team y ahora los investigadores de Trend Micro han analizado el código del spyware RCS Android (Remote Control System Android). Como era de esperar, este troyano permite espiar a las víctimas en muchos niveles, al extremo de llegar a considerarlo el más sofisticado de su tipo.
El spyware se instala a través de una aplicación que se descarga de Google Play, de SMS o a través de un correo electrónico que contiene una dirección URL especialmente diseñada para explotar las vulnerabilidades CVE-2012-2825 y CVE-2012-2871 en el navegador por defecto de las versiones de Android 4.0 (Ice Cream Sandwich) a 4.3 (Jelly Bean). Esto permite al atacante obtener privilegios de root e instalar y el RCS Android.
RCS Android cuenta con dos módulos principales: el recolector de evidencia y un trigger de eventos.
El primero es responsable de las rutinas de espionaje: recopilación de información del dispositivo, captura de imágenes y fotos, grabación de voz utilizando el micrófono, captura de voz, ubicación, captura de contraseñas de cuentas, recolección de contactos y decodificación de mensajes de mensajería, SMS, MMS y GMail.
Este segundo módulo es el responsable de disparar acciones maliciosas basadas en ciertos acontecimientos del dispositivo. Además es el responsable de sincronizar los datos de configuración, descargar nuevas versiones, enviar los datos recogidos al servidor C&C, purgar el dispositivo, ejecutar comandos de shell; desactivar la red, dar acceso root, restablecer la contraseña de bloqueo del dispositivo y desinstalar el bot.
"Para evitar la detección y eliminación de la aplicación en memoria del dispositivo, la suite de RCSAndroid también detecta emuladores o sandrbox, ofusca su código mediante DexGuard, utiliza ofuscador de cadenas ELF y ajusta el valor OOM (out-of-memory)" dicen los investigadores.
Dado que el código fuente de RCS Android está disponible para todo el mundo, probablemente no tardará mucho tiempo en que aparezca malware genérico para Android con estas y otras capacidades.
Fuente: Net-Security
El spyware se instala a través de una aplicación que se descarga de Google Play, de SMS o a través de un correo electrónico que contiene una dirección URL especialmente diseñada para explotar las vulnerabilidades CVE-2012-2825 y CVE-2012-2871 en el navegador por defecto de las versiones de Android 4.0 (Ice Cream Sandwich) a 4.3 (Jelly Bean). Esto permite al atacante obtener privilegios de root e instalar y el RCS Android.
El primero es responsable de las rutinas de espionaje: recopilación de información del dispositivo, captura de imágenes y fotos, grabación de voz utilizando el micrófono, captura de voz, ubicación, captura de contraseñas de cuentas, recolección de contactos y decodificación de mensajes de mensajería, SMS, MMS y GMail.
Este segundo módulo es el responsable de disparar acciones maliciosas basadas en ciertos acontecimientos del dispositivo. Además es el responsable de sincronizar los datos de configuración, descargar nuevas versiones, enviar los datos recogidos al servidor C&C, purgar el dispositivo, ejecutar comandos de shell; desactivar la red, dar acceso root, restablecer la contraseña de bloqueo del dispositivo y desinstalar el bot.
"Para evitar la detección y eliminación de la aplicación en memoria del dispositivo, la suite de RCSAndroid también detecta emuladores o sandrbox, ofusca su código mediante DexGuard, utiliza ofuscador de cadenas ELF y ajusta el valor OOM (out-of-memory)" dicen los investigadores.
Dado que el código fuente de RCS Android está disponible para todo el mundo, probablemente no tardará mucho tiempo en que aparezca malware genérico para Android con estas y otras capacidades.
Fuente: Net-Security
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!