Expertos en seguridad han detectado un nuevo troyano y cuatro variantes que están destinadas a afectar a los dispositivos que hacen uso del sistema operativo móvil de los de Mountain View. Loki, que así es como se le conoce, una vez llega al equipo Android inyecta su código en aplicaciones legítimas y consigue permisos de administrador.
No es ningún desconocido para los expertos en seguridad, ya que se trata de una amenaza que ha evolucionado de la mano con las necesidades de los usuarios. Esto quiere decir que al hacer uso de más información en los dispositivos móviles, los propietarios de este se han visto obligados a añadir mejoras para así robar la mayor cantidad de datos posibles.
Android.Loki.1.origin, Android.Loki.2.origina, Android.Loki.3 y Android.Loki.6 son las 4 variantes que en la actualidad se están distribuyendo, diferenciadas entre sí por las funciones que poseen. Es decir, la última es la más completa en lo referido a funcionalidades aunque esto no evita que los propietarios continúen utilizando aún las otras. Tal y como lo ha presentado los expertos en seguridad de Dr.Web, afirman que las 4 variantes en realidad funcionan como una amenaza sola, siendo la número 3 el componente principal y posteriormente instala de forma paulatina el resto.
Al comenzar hemos mencionado que el troyano se ejecuta haciendo uso de privilegios de administrador. esto es posible porque inyecta su código al llegar al dispositivo en aplicaciones legítimas y se produce la herencia de los derechos. De no ser así, la amenaza lanza un pop-up para que el usuario conceda privilegios de administrador a la aplicación legítima, consiguiendo de esta forma máximos privilegios en el sistema operativo Android. Al utilizar, Twitter, Facebook o WhatsApp para esta solicitud, el usuario no sospechará y los concederá sin ningún reparo.
Loki se centra en recopilar datos e instalar otras amenazas
Una vez ha conseguido los privilegios necesarios, comienza con la recopilación de información del terminal o tableta, comenzando por el IMEI, la versión de Android, resolución de la pantalla y así hasta completar una larga lista de datos que posteriormente se enviarán a un servidor de control.
A todo esto hay que añadir que la función de spyware que posee le permite recopilar la lista de contacto, el historial de navegación, las aplicaciones utilizadas, historial de llamadas o la geolocalización del terminal.
Si los ciberdelincuentes encuentran que se trata de un dispositivo atractivo para la remuneración publicitaria, llevan a cabo la instalación de aplicaciones desde tiendas alternativas que permitirán mostrar publicidad al usuario y que este acceda de forma accidental a estos contenidos.
Teniendo en cuenta que el código se inyecta en aplicaciones legítimas, los usuarios que estén afectados se verán obligados a restaurar el terminal a valores de fábrica, y así solucionar el problema de raíz.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
