Symantec ha detectado
una incidencia que hasta ahora había sido una curiosidad: infección
originada en Windows que intenta propagarse hacia dispositivos Android.
Las empresas de seguridad informática están familiarizadas con las incidencias de malware para Android que intenta infectar los sistemas Windows. Symantec cita el caso de Android.Claco, que descarga un archivo en formato portable ejecutable (PE) malicioso junto con un autorun.inf y los instala en el directorio origen de la tarjeta SD. Cuando se conecta el dispositivo móvil afectado a una computadora por medio de USB, y el modo AutoRun está habilitado, Windows automáticamente ejecutará el archivo PE malicioso.
Las empresas de seguridad informática están familiarizadas con las incidencias de malware para Android que intenta infectar los sistemas Windows. Symantec cita el caso de Android.Claco, que descarga un archivo en formato portable ejecutable (PE) malicioso junto con un autorun.inf y los instala en el directorio origen de la tarjeta SD. Cuando se conecta el dispositivo móvil afectado a una computadora por medio de USB, y el modo AutoRun está habilitado, Windows automáticamente ejecutará el archivo PE malicioso.
En un hecho que destaca como curioso, Symantec encontró algo que funciona al revés: es decir, una amenaza de Windows que intenta infectar los dispositivos Android.
La infección comienza con un Troyano denominado Trojan.Droidpak. Este troyano descarga un DLL malicioso (también detectado como Trojan.Droidpak) y lo registra como un servicio del sistema. Luego, ese DLL descarga un archivo de configuración desde un servidor remoto. Después, analiza el archivo de configuración para poder descargar el APK malicioso a la computadora afectada:
Así, el DLL obtiene la capacidad de descargar herramientas necesarias como el Puente de Depuración de Android (Android Debug Bridge). Luego, instala el ADB y utiliza el comando que se observa en la Figura 1 para instalar el APK malicioso a cualquier dispositivo Android conectado a la computadora afectada:
Se intenta instalar repetidamente para poder garantizar que el
dispositivo móvil se infecte al conectarlo a la computadora. Para una
instalación satisfactoria también requiere que el modo de depuración USB
esté habilitado en el dispositivo Android. El APK malicioso es una
variante de Android.Fakebank.B y se presenta como una aplicación de la
tienda de aplicaciones de Google.
Sin embargo, el APK malicioso en realidad busca ciertas aplicaciones de transacciones bancarias coreanas en el dispositivo afectado y, si las encuentra, provoca que el usuario las borre e instale versiones maliciosas. Android Fakebank.B también intercepta mensajes SMS y los envía a un servidor situado en Corea.
Sin embargo, el APK malicioso en realidad busca ciertas aplicaciones de transacciones bancarias coreanas en el dispositivo afectado y, si las encuentra, provoca que el usuario las borre e instale versiones maliciosas. Android Fakebank.B también intercepta mensajes SMS y los envía a un servidor situado en Corea.
Para evitar ser víctima de este nuevo modo de infección, Symantec sugiere a los usuarios seguir las siguientes indicaciones:
- Desactivar la depuración USB de su dispositivo Android cuando no la utilice.
- Ser cauteloso cuando conecte su dispositivo móvil a computadoras no confiables.
- Instalar software de seguridad confiable, como Norton Mobile Security.
- Visitar la página de Symantec Mobile Security para obtener más información sobre seguridad.
Fuente: DiarioTI
0 comentarios:
Publicar un comentario