19 feb. 2016

Mazar BOT: malware para Android que se instala como "root"

Se ha encontrdo un nuevo tipo de malware en Android que tiene la capacidad de obtener acceso "root" en el smartphone y borrar completamente el contenido del teléfono.

Descubierto por Heimdal Security y denominado Mazar BOT o Marhatob, este malware tiene muchas capacidades ocultas entre las que se encuentra poder convertir el teléfono en un zombi dentro de botnet.

Este malware se distribuye en tiendas de aplicaciones de terceros  y requiere instalar una aplicación. Mazar también se propaga a través de spam SMS o mensajes MMS que llevan a un enlace a una APK dañina. Una vez que el usuario hace clic en el enlace, termina descargando el archivo APK que cuando se ejecuta pide al usuario que instale una nueva aplicación.

Esta nueva aplicación tiene el nombre genérico "MMS Messaging" y pide privilegios de nivel de administrador con lo que los usuarios terminan dando acceso "root" a la aplicación maliciosa.

Una vez que instalado y con acceso root, Mazar BOT puede hacer una variedad de cosas en el dispositivos Android:
  • Obtener persistencia en el booteo
  • Enviar y leer mensajes SMS
  • Hacer llamadas a los contactos
  • Leer el estado del teléfono
  • Infectar el navegador Chrome
  • Cambiar la configuración del teléfono
  • Forzar el teléfono a modo de reposo
  • Consultar el estado de la red
  • Acceso a Internet
  • Limpiar el dispositivo, la capacidad más crítica de todas
Además, Mazar BOT puede navega por Internet a través de TOR, luego de descargar e instalar la aplicación legítima de TOR al smartphone. En algunos casos, Mazar BOT también instala una aplicación llamada a Proxy Privoxy, que establece un proxy en el dispositivo, permitiendo que el autor de malware pueda espiar el tráfico de web de la víctima y llevar a cabo ataques Man-in-the-Middle (MitM).

Una vez que el malware instala TOR en el teléfono de la víctima, envía un mensaje de "Thank you" a un número de teléfono iraní (9876543210), junto con la ubicación del dispositivo.
if cyber criminals don't go after Russians, Russian authorities will not go after them.
Se cree que detrás de Mazar BOT hay un grupo de cibercriminales de Rusia porque el malware no se instala en teléfonos configurados con este idioma. Otra pista: hay una ley no escrita en Rusia que dice que "si los ciberdelincuentes no van detrás de los rusos, las autoridades rusas no irá tras ellos".

Mazar BOT ha estado a la venta en varios foros ruso de la dark web, pero esta es la primera vez que se ha encontrado este código in-the-wild.  Sin embargo, la detección de la APK es muy baja: 3/54 en VirusTotal.

Fuente: The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!