Muchas veces los ciberdelincuentes se deben aclimatar a la situación existente y cuando el dominio que utilizan para distribuir un malware cierra deben buscar otro. Esto es lo que ha sucedido con el troyano AlienSpy que se ha visto obligado a cambiar de nombre, identificándose ahora con el nombre de JSocket.
Aunque este tipo de virus informáticos suele destinarse al uso doméstico, este en concreto se ha vinculado fuertemente con el espionaje a instituciones y sus miembros. Para decir esto hay que coger como referencia la muerte del fiscal argentino Alberto Nisman. En las investigaciones que procedieron a su fallecimiento, en su terminal Android se encontró un archivo bajo el nombre de “estrictamente secreto y confidencial.pdf.jar”. Tal y como se puede apreciar este dispone de una doble extensión y la primera solo trata de encubrir la segunda, por lo que nos encontramos ante una aplicación y no un documento de texto.
La teléfono Android de este fiscal estaba infectado con AlienSpy y esto nos muestra cuál puede ser la vía de distribución de esta amenaza, encubierta como si un documento de otro tipo se tratase.
Aunque no estaba confirmado, los expertos en seguridad disponían de ciertas información que hablaban de un RAT programado en Java, quedando ahora más que justificadas todas estas informaciones. Se trata de un troyano que permite el control remoto del dispositivo y en principio está llamado a afectar a sistemas operativos Android y Windows.
AlienSpy además de ser una puerta trasera recopila información gracias a un keylogger
Una muestra de esta amenaza ha llegado a varios laboratorios y después de varios días analizándola, se sabe que es un virus muy completo, y que además de crear una puerta trasera para que los ciberdelincuentes puedan controlar y acceder al dispositivo de forma remota posee unas funciones que permiten recopilar la información existente en el mismo y sobre su uso, interviniendo en esto un keylogger que permite grabar las pulsaciones del teclado basándose en la ubicación de las pulsaciones en la pantalla táctil, ideal para robar contraseñas de diferentes servicios.
GoDaddy ha cerrado el dominio
Tras las denuncias de algunas autoridades, el servicio de alojamiento y dominios ha procedido a la suspensión del servicio, obligando a los ciberdelincuentes a buscar otro y por lo tanto otro nombre. Ahora reside en el dominio jsocket.org y su nombre es JSocket, manteniendo la forma de distribución que poseía con anterioridad.
Fuente:https://www.redeszone.net/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
