• Tweet

Investigadores de seguridad han encontrado paulatinamente un considerable número de piezas malware que se dirigen a dispositivos Android. La más reciente, es una aplicación maliciosa que se presenta como el juego Madden NFL 12, transportando una serie de componentes que terminan infectando al dispositivo.

Los expertos de Kaspersky Lab analizaron el troyano, y aunque no pudieron determinar exactamente cómo se transmite, se las arreglaron para averiguar cómo funciona y la magnitud de los daños que puede causar.

El troyano, un archivo de 5 MB, deja caer un payload compuesto por un exploit, Exploit.Linux.Lotoor.ac, un troyano SMS, identificado como Trojan-SMS.AndroidOS.Foncy.a, y un bot de IRC.

Así que te preguntarás cómo estos elementos maliciosos trabajan en armonía.

Créditos: Softpedia

En primer lugar, un archivo .class llamado AndroidBotActivity crea un directorio y se establece permisos de lectura, escritura y ejecución para todos los usuarios, después de esto extrae tres archivos .png, lo que representa el troyano SMS, privilegios de root y el bot de IRC.

Después de completar la operación, se muestra un mensaje de error en la pantalla, diciendo que la aplicación no está registrada, pero en realidad, el exploit se ejecuta. Si se obtienen privilegios de root en el dispositivo, el bot de IRC se pone en marcha, y a su vez instala el troyano SMS.

El bot de IRC se conecta a un servidor, en un determinado canal, con un apodo al azar y espera comandos del shell del servidor, ejecutándolos en el dispositivo infectado.

Esta no es la primera vez que oímos hablar de los troyanos Foncy SMS y parece que no ha cambiado mucho desde que se vieron por última vez. Al igual que antes, se trata de enviar mensajes SMS a números de tarifa especial de países como Francia, Bélgica, Alemania y Canadá, bloqueando al mismo tiempo, los mensajes que provienen de estos números.

A diferencia de la variante anterior, donde los delincuentes contaron el número de víctimas mediante el envío de los mensajes entrantes a un número de teléfono, en este escenario, los mensajes que provienen de los números de tarificación adicional que se han subido a un servidor remoto.