Malware de Windows que Podría Infectar Dispositivos Android

Symantec identificó un malware de Windows que intenta infectar los dispositivos Android. En ocasiones anteriores, se había detectado un malware para Android que intentaba infectar los sistemas de Windows, curiosamente, en esta oportunidad se ha encontrado algo que funciona al revés. Cuando se conecta el dispositivo móvil afectado a una computadora por medio de USB, y el modo AutoRun está habilitado, Windows automáticamente ejecutará el archivo PE malicioso.

Por ejemplo, Android.Claco descarga un archivo en formato portable ejecutable (PE) malicioso junto con un autorun.inf y los instala en el directorio origen de la tarjeta SD. Cuando se conecta el dispositivo móvil afectado a una computadora por medio de USB, y el modo AutoRun está habilitado, Windows automáticamente ejecutará el archivo PE malicioso.

La infección comienza con un Troyano que se llama Trojan.Droidpak. Este troyano descarga un DLL malicioso (también detectado como Trojan.Droidpak) y lo registra como un servicio del sistema. Luego, ese DLL descarga un archivo de configuración desde el siguiente servidor remoto: http://xia2.dy[REMOVED]s-web.com/iconfig.txt

Después, analiza el archivo de configuración para poder descargar el APK malicioso a la siguiente ubicación en la computadora afectada: %Windir%CrainingApkConfigAV-cdk.apk

El DLL podría descargar herramientas necesarias como el Puente de Depuración de Android (Android Debug Bridge).

Luego, instala el ADB y utiliza el comando que se observa en la Figura 1 para instalar el APK malicioso a cualquier dispositivo Android conectado a la computadora afectada:

figure1_11

Figura 1. Comando para instalar el APK malicioso

Se intenta instalar repetidamente para poder garantizar que el dispositivo móvil se infecte al conectarlo a la computadora. Para una instalación satisfactoria también requiere que el modo de depuración USB esté habilitado en el dispositivo Android.

El APK malicioso es una variante de Android.Fakebank.B y se presenta como una aplicación de la tienda de aplicaciones de Google.

APK malicioso simulado en la tienda de aplicaciones de Google.

figure2_10

Sin embargo, el APK malicioso en realidad busca ciertas aplicaciones de transacciones bancarias coreanas en el dispositivo afectado y, si las encuentra, provoca que el usuario las borre e instale versiones maliciosas. Android Fakebank.B también intercepta mensajes SMS y los envía a la siguiente ubicación:

figure3_6

Para evitar ser víctima de este nuevo modo de infección, Symantec sugiere a los usuarios seguir las siguientes indicaciones:

Desactivar la depuración USB de su dispositivo Android cuando no la utilice.
Ser cauteloso cuando conecte su dispositivo móvil a computadoras no confiables.
Instalar software de seguridad confiable, como Norton Mobile Security.
Visitar la página de Symantec Mobile Security para obtener más información sobre seguridad.

En el blog de Symantec Security Response podrás encontrar más detalles sobre la manera en que este malware podría afectar a los dispositivos móviles que no cuenten con un sistema de seguridad adecuado y también algunas sugerencias para que los usuarios tomen medidas preventivas en sus dispositivos.

Opiniones / Comentarios

Otros links relacionados