¿Para qué implementar las funciones de tu troyano si ya lo han hecho alguien por ti? Eso es lo que han debido pensar los creadores del último troyano que se ha detectado y que afecta a dispositivos Android rooteados. Rootnik, que así es como se le ha bautizado, utiliza una herramienta que sirve para rootear dispositivos para así comprometer la seguridad de los terminales móviles.
Sin embargo, hay que matizar que no solo afecta a dispositivos rooteados, ya que aquellos que no lo estén también pueden verse afectados. Al utilizar esta utilidad, el malware puede rootear el dispositivo de forma autónoma sin que el usuario sea consciente y conseguir permisos de administrador, todo ello sin que el usuario tenga que intervenir. Root Assistant, que así es como se llama la utilidad de la que se beneficia el troyano, fue creada hace unos años por unos desarrolladores chinos. Además de esta herramienta, el malware debe utilizar las vulnerabilidades CVE-2012-4221, CVE-2013-2596, CVE-2013-2597 y CVE-2013-6282 para realizar el proceso de forma satisfactoria.
Los ciberdelincuentes descomprimieron el código de esta utilidad, introdujeron el de su troyano que a su vez se vale de algunas funciones de esta suite y para finalizar se introdujo en algunas aplicaciones con popularidad entre los usuarios. El resultado final es una aplicación que además de ser un videojuego o cualquier otro de productividad, posee un código que no solo es capaz de rootear el dispositivo, sino que permite la instalación de aplicaciones sin el consentimiento del usuario, es decir, software no deseado, principalmente adware.
WiFi Analyzer, Open Camera, Infinite Loop, HD Camera, Windows Solitaire y ZUI Locker son algunas de las aplicaciones identificadas durante la última semana y afectadas por esta práctica, todas ellas disponibles en tiendas de aplicaciones no oficiales. En total hay unos 1.000 usuarios afectados hasta este momento.
Rootnik y el adware que roba información
Evidentemente si solos nos encontrásemos ante este tipo de software el problema no ería tan malo. Sí que es verdad que muchas veces imposibilita la utilización normal del terminal Android pero se puede poner solución. Sin embargo, expertos en seguridad han detectado que muchas de estas aplicaciones, además de mostrar publicidad a los usuarios realizan el robo de información almacenada en la memoria de los terminales. También han detectado la presencia de keyloggers en este tipo de software, por lo que a los ciberdelincuentes también les interesa las credenciales de los diferentes servicios utilizados en el terminal.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
