Un nuevo malware está afectando a dispositivos móviles con sistema operativo Android, llegando incluso a realizar el borrado de todo el contenido del dispositivo sin que el usuario pueda hacer nada. Mazar, que así es como se la conoce a la amenaza, se está distribuyendo principalmente vía correo electrónico o SMS.
Aunque pueda parecer que la forma de llevar a cabo la distribución del mismo pueda ser distinta a las vistas en la mayoría de las amenazas que afectan a los dispositivos que poseen el sistema operativo móvil de los de Mountain View, la realidad es que no dista tanto. Tal y como ya hemos puntualizado se basta de dos vías para difundir la amenaza. Entre el contenido enviado el usuario puede encontrar al dirección desde la que podrá realizar la descarga de la aplicación prometida o detallada, redirigiendo a este a una tienda de aplicaciones no oficial, lugar en el que se distribuyen la mayor parte de las ocasiones este tipo de contenidos.
A la aplicación se la conoce con el nombre de MMS Messaging y durante el proceso de instalación solicita al usuario permisos de administrador, los cuales en muchas ocasiones no dudamos en otorgar sin ni siquiera importarnos las consecuencias que podría tener dicha acción en nuestro terminal y datos contenidos en él.
Una vez conseguidos estos privilegios, el malware Mazar comienza a desempeñar todo tipo de tareas intrusivas en el dispositivos. En primer lugar garantiza su presencia tras los numerosos reinicios sucesivos que pueda sufrir el terminal, además de proceder al envío y la realización de mensajes de texto y llamadas además de acceder a todos los datos contenidos en el terminal, como por ejemplo, la agenda de contactos, imágenes o aplicaciones instaladas.
Aunque estos puedan parecer problemas muy importantes, el que los es sin lugar a dudas es la posibilidad que existe de que el terminal sufra un borrado completo, algo que ha sido provocado por el propio usuario al otorgar permisos de administrador.
Mazar tiene un origen ruso y diseñado para afectar a todo Europa
Además de todo lo anterior, los investigadores han encontrado indicios de que el origen de la amenaza es Rusia y que en la actualidad está afectando a usuarios de todo el territorio europeo, excepto a los que residen en dicho país. También han descubierto que una vez el terminal está infectado procede a enviar una confirmación a un servidor remoto cuya ubicación no se ha encontrado aún, pero todo parece indicar que el terminal infectado queda unido a una botnet cuya finalidad aún se desconoce.
Para hacer frente a esta amenaza la mejor opción es poner a salvo los datos del terminal y realizar un wipe o restaurar el terminal a los valores de fábrica, si es que la amenaza no lo ha hecho aún.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad