Incluso si algunas familias de malware nunca consiguen causar daños a nivel mundial, sigue siendo interesante leer a veces sobre las nuevas técnicas que algunos autores de malware utilizan para crear estas amenazas cibernéticas. Uno de los casos más recientes se refiere a una familia que tiene como objetivo dispositivos Android dentro del territorio chino, que fue descubierto por Symantec y que se nombró como Android.Spywaller. Lo más destacable de esta nueva amenaza es el hecho de que, durante la infección, el malware toma la forma de Qihoo 360, una app de seguridad muy popular entre los usuarios chinos de Android. Lo que hace ese Android.Spywaller es utilizar el firewall para bloquear las comunicaciones internas de Qihoo 360. El malware busca y se registra en el dispositivo como la misma UID (identificador único) que utiliza la app de Qihoo360, para después cargar un archivo binario con el nombre de DroidWall, que es una versión del paquete UNIX iptable, modificado para que funcione en dispositivos Android.
El paquete de iptable es una utilidad muy conocida de firewall por los sistemas Linux, y DroidWall se desarrolló de forma independiente por unos investigadores independientes, que más tarde lo vendieron a AVAST en el año 2011. Puesto que esta app ha pasado varios años como software libre, los autores de malware todavía la pueden encontrar en repositorios de Google Code o GitHub.
Del mismo modo que en el caso de Android.Spywaller, DroidWall se puede utilizar para bloquear a las apps de seguridad y así que no puedan comunicarse con sus servidores en la nube de análisis de amenazas, por lo que las apps resultan ser completamente inútiles y da al malware vía libre para acceder cualquier parte del dispositivo.
Android.Spywaller infecta a los dispositivos al hacerse pasar por una app de Google
Los investigadores de Symantec dicen que el malware no es una infección muy común entre los usuarios chinos, por lo que no hay mucho de lo que preocuparse por ahora. Para los usuarios que se hayan visto afectados, el malware se hace pasar por una app de Google con el nombre de Google Service. Se aprovecha en este caso de la ventaja de no tener una tienda oficial de Google Play Store en el país que pueda comprobarlo.
Se extiende a través de tiendas de apps no oficiales de Android y engaña a los usuarios para que les de permisos de administrador del dispositivo. Así, el Android.Spywaller continúa su trabajo funcionando de fondo en el terminal, robando información sobre el dispositivo para después subirla a uno de sus servidores propios.
Una de las familias de spyware de Android más grandes descubiertas
Symantec informa que la app buscará y filtrará datos como pueden ser historiales de llamadas, SMS, lecturas del GPOS, datos del navegador, emails, radio, imágenes y listas de contacto, Además, la app también reúne información de otras apps como son el BlackBerry messenger, Oovoo, Coco, QQ, SinaWeibo, Skype, Talkbox, TecentWeibo, Voxer, Wechat, WhatsApp y Zello, entre otras.
Los investigadores aseguran que esta Android.Spywaller es una de las familias de spyware más intrusivas que han podido descubrir para dispositivos Android, puesel malware cubre múltiples tipos de información y fuentes de información muy dispares al mismo tiempo.
Fuente:https://portalhoy.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad