KevDroid, software malicioso de Android que graba llamadas y roba datos privados.

Recientemente se han descubierto variantes de un nuevo troyano para Android, el cual está siendo distribuido desenfrenadamente como una aplicación antivirus falsa; conocida como “Naver Defender”. Este hallazgo fue realizado por investigadores de seguridad de Cisco Talos. KevDroid, es una herramienta de administración remota “RAT” diseñada con el propósito de robar información y datos sensibles en dispositivos Android, el malware  tiene la capacidad de grabar las llamadas telefónicas que se realizan en el dispositivo comprometido. Los investigadores de Talos, publicaron esta semana los detalles técnicos de dos variantes halladas recientemente. La firma de seguridad cibernética de Corea del Sur ESTsecurity, fue la primera en identificar este nuevo malware, aunque aun no se atribuye a ningún grupo, en Corea del Sur lo han vinculado con el grupo hacker patrocinado por el estado “Grupo 123”, el cual es conocido por objetivos en este país. La variante más reciente de KevDroid, detectada en marzo de este año, tiene entre otras, las siguientes capacidades:

  • grabar llamadas telefónicas y audio
  • robar historial web y archivos
  • obtener acceso a la raíz
  • robar registros de llamadas, SMS, correos electrónicos
  • recolectar la ubicación del dispositivo cada 10 segundos
  • recoger una lista de aplicaciones instaladas

KevDroid utiliza una librería de código abierto, disponible en GitHub, para obtener la capacidad de grabar llamadas entrantes y salientes desde el dispositivo Android comprometido.

android-malware

Aunque las dos muestras de KevDroid, tienen las mismas capacidades de robar información en el dispositivo comprometido y registrar las llamadas telefónicas de la víctima, una de las variantes incluso explota una falla conocida de Android (CVE-2015-3636) para obtener acceso raíz en el dispositivo comprometido. Luego, los datos robados se envían a un servidor de control y comando controlado por el atacante, alojado en la red global de flujo de datos de PubNub, utilizando una solicitud HTTP POST. "Si un adversario tuvo éxito en obtener parte de la información que KevDroid es capaz de recopilar, podría dar lugar a una multitud de problemas para la víctima", lo que da como resultado la fuga de datos, lo que podría conducir a una serie de cosas, como el secuestro de un ser querido, el chantaje mediante el uso de imágenes o información secreta, recolección de credenciales, acceso a tokens multifactoriales (SMS MFA), implicaciones bancarias / financieras y acceso a información privilegiada, tal vez a través de correos electrónicos / textos ", dice Talos. Otro de los riesgos asociados a KevDroid, es que muchos usuarios ingresan desde su dispositivo móvil a correos electrónicos corporativos, lo cual puede provocar que el ciberespionaje sea otra utilidad de este malware Asi mismo, los investigadores descubrieron otra RAT, diseñada para los usuarios de Windows, la cual comparte el mismo servidor de C & C y también utiliza la API PubNub para enviar comandos a los dispositivos comprometidos. Cómo lograr mantener su Smart phone seguro y libre de KevDroid Es recomendable realizar una comprobación cruzada de las aplicaciones instaladas en los dispositivos, con el fin de encontrar y eliminar si hay alguna aplicación maliciosa / desconocida / innecesaria en la lista sin su conocimiento o consentimiento. También puede seguir estos consejos para evitar ser víctima de este tipo de malware:

  • No instalar aplicaciones en tiendas de terceros.
  • Habilite la función 'verificar aplicaciones' desde la configuración.
  • Mantenga las "fuentes desconocidas" deshabilitadas mientras no lo esté usando.
  • Instale software antivirus y de seguridad de un proveedor de ciberseguridad conocido.
  • Haga una copia de seguridad de su teléfono regularmente.
  • Use una aplicación de encriptación para proteger cualquier información sensible en su teléfono.
  • No abra documentos que no está esperando, incluso si parece que es de alguien que conoce.
  • Proteja sus dispositivos con un bloqueo de PIN o contraseña para que nadie pueda obtener acceso no autorizado a su dispositivo cuando permanece desatendido.
  • Mantenga su dispositivo siempre actualizado con los últimos parches de seguridad.

@fredyavila

Síguenos en Facebook, Twitter, unete a nuestra charla en Riot, únete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación..

Etiquetas

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila