Descubren malware que utiliza posts como sistemas de comando y control

Aunque la mayor parte del malware moderno se basa en servidores distantes para sus actualizaciones de código, además de para pedir instrucciones, un analista de la empresa de seguridad Trend Micro asegura haber descubierto un malware para Android que utiliza los posts como sistemas de comando y control.

La evolución que se está viendo en el malware para Android recuerda al que ya se vio en el de Windows en los años ’90, cuando se utilizaron los canales IRC (internet Relay Chat) –una versión de mensajería instantánea, para controlar la ejecución de código ‘darkware’, aseguran en Infosecurity.

El primer malware que se ha descubierto que hace esto se conoce como ANDROIDS_ANSERVER.A, que se presenta como una aplicación de lector de libros electrónicos y se descarga desde tiendas de aplicaciones de China, pidiendo los siguientes permisos: Acceso a los ajustes de red, acceso a internet, control de las alertas, desactivar el bloqueo del teclado, hacer llamadas, leer los registros de los archivos, leer y escribir los detalles de los contactos, restaurar las aplicaciones, activar el dispositivos y escribir, leer, recibir y enviar SMS.

Los análisis realizados por los investigadores de Trend Micro han descubierto que este malware tiene dos servidores de comando y control con los que se conecta para poder recibir instrucciones. El primero es el habitual site remoto al que acceder el malware en busca de información, escribe Karl Dominguez en su post.

El segundo, que es el que ha llamado la atención del investigador, es un blog con contenido cifrado. Se trata de la primera vez que un malware de Android que utiliza este tipo de técnica para comunicarse.

Un análisis más profundo del contenido del blog muestra seis post cifrados que incluyen direcciones de Internet de servidores de comando y control, además de 18 binarios que han sido subidos al blog entre 23 de julio y el 26 de septiembre; una de las actualizaciones se llama ‘_test’, lo que sugiere que el malware aún está en desarrollo.

Al descifrar el post y analizar los binarios, Dominguez dice haber encontrado que los archivos son versiones diferentes de uno y que estudiando todas ha descubierto que las versiones más nuevas tienen la capacidad de mostrar notificaciones que intentan llevar a los usuarios a que descarguen la actualización.

En su post Dominguez asegura que utilizar una plataforma de blog en las actividades de malware no es nueva, es algo que se vio a primeros de año cuando se descubrió a una botnet utilizando Twitter para controlar los sistemas infectados. Sí que es un signo, dice el investigador “del continuado desarrollo y proliferación” del malware móvil.

ITespresso Redacción

La redacción de ITespresso está compuesta por periodistas especializados en Tecnologías de la Información y Comunicaciones.

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago