Triout, un nuevo Spyware para dispositivos Android
Android, como líder del mercado de los sistemas operativos móviles, es el principal objetivo de los creadores de malware, que dirigen sus ataques a estas plataformas para conseguir sus metas, ya sea espiar, robar o manipular datos.
La muestra en cuestión ha sido detectada gracias a los algoritmos de aprendizaje de BitDefender y aunque no han especificado de qué muestra se trata, aseguran (y llama la atención) que las primeras muestras fueron enviadas a VirusTotal desde Rusia y que los análisis e informes provenían de Israel.
El malware descubierto suplanta una aplicación llamada ‘Sex Game’, utilizada por el atacante para atraer la atención de las víctimas. Esta aplicación presenta algunas diferencias respecto a la original: pide más permisos durante su instalación y se compone de más ficheros. También llama la atención que la aplicación está firmada con el certificado de debug de Google, cuyo SHA-1 es: 61ed377e85d386a8dfee6b864bd85b0bfaa5af81.
Icono de ‘Triout’ y de la aplicación suplantada, extraída de https://www.bitdefender.es/ |
Paquetes de ‘Triout’, extraída de https://www.bitdefender.es/ |
La principal funcionalidad del malware es el espionaje de las víctimas. Para ello, el malware recopila todo tipo de información personal y la envía a un servidor de C&C controlado por el atacante:
- Capacidad de ocultación.
- Grabación de las llamadas entrantes y salientes del dispositivo, que son enviados a ‘incall3.php’ y ‘outcall3.php’.
- Recepción y envío de SMS que son enviados a ‘script3.php’.
- Recogida del registro de llamadas que envían a ‘calllog.php’.
- Captura de las fotografías y vídeos grabados por el usuario, aunque también puede tomar fotografías y grabaciones que son enviados a ‘uppc.php’, ‘finpic.php’ y ‘reqpic.php’.
- Captura de las coordenadas GPS que son enviadas a ‘gps3.php’.
Ejemplo del código de ‘Triout’, extraída de https://www.bitdefender.es/ |
BitDefender, Whitepaper de Triout:
Powered by WPeMatico