Teniendo en cuenta que la mayoría de los usuarios poseen un dispositivo Android, los ciberdelincuentes centran sus esfuerzos en afectar estos haciendo uso de la Play Store. En este caso el troyano que nos ocupa no se distribuye haciendo uso de esta pero sí que esta afectando a Android rooteados, tanto a nivel de terminales móviles como de tabletas.
Cada vez son más los usuarios que optan por hacer esta modificación al sistema operativo, no siendo conscientes en muchos casos de los riesgos que esto conlleva. El más importante es que descargar aplicaciones maliciosas provocaría que estas se instalasen en el sistema sin ningún tipo de problema, ya que se suprimiría la petición de permisos que aparece por norma general.
Ante estas facilidades los ciberdelincuentes no pueden resistirse y deciden atacar a este tipo de dispositivos. Sin ir más lejos, aunque el dispositivo no esté rooteado hay amenazas que se encargar de llevar a cabo el proceso gracias a un módulo adjunto presente en el ejecutable.
Si tenemos las aplicaciones it.cyprus.client o it.assistenzaumts.update en nuestro terminal móvil podría decirse que tenemos un problema bastante importante y que sería conveniente llevar a cabo su desinstalación.
Como punto positivo hay que decir que los usuarios no sufrirán la instalación de otro tipo de software malware, por lo que llevar a cabo su eliminación del sistemas es relativamente sencilla acudiendo al Gestor de Aplicaciones del sistema operativo Android de nuestro dispositivo rooteado.
Los Android rooteados monitorizados hasta límites insospechados
Los RAT que muchos usuarios conocen son aplicaciones malware que permiten el control y monitorización del dispositivo infectado. Partiendo de esta idea, los usuarios afectados por esta amenaza deben saber que en primer lugar se hará una recopilación de todos los datos almacenados en la memoria interna y microSD de los terminales. Posteriormente se llevará a cabo un análisis muy exhaustivo de su uso, no solo de las páginas web visitadas con el navegador, sino también de las aplicaciones, posibilitando el robo de las credenciales de acceso y de otros contenidos.
Por último, todo esto se enviará a un servidor de control remoto que está alojado en Italia.
En lo referido a qué usuarios está afectando, hay que decir que en un principio se distribuyó entre todos los europeos haciendo uso de tiendas de aplicaciones no oficiales pero ahora se ha centrado en el territorio asiático, algo que es poco frecuente ya que las amenazas acostumbran a realizar el camino inverso.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
