Un nuevo troyano contra Android permite grabar las llamadas y robar datos privados

Los investigadores en seguridad de Cisco Talos han descubierto un nuevo troyano contra Android que está siendo distribuido mediante una falsa actualización para el sistema operativo o una aplicación antivirus falsa llamada “Naver Defender”.

El nombre del troyano es KevDroid y se trata de Herramienta de Administración Remota (RAT) diseñada para robar información sensible y grabar las conversaciones mediante teléfono en los dispositivos Android infectados. Los investigadores de Talos publicaron los detalles técnicos después de seguir el descubrimiento inicial de la empresa de ciberseguridad surcoreana ESTsecurity.

Aunque los investigadores no han vinculado KevDroid a ningún grupo de hackers, algunos medios surcoreanos lo han atribuido a “Group 123”, un grupo de hacking y ciberespionaje que presuntamente está vinculado al gobierno de Corea del Norte, que en los últimos tiempos ha estado en el punto de mira muchas veces acusado de estar detrás de actividad cibercriminal contra intereses de grandes multinacionales y otros estados (sobre todo su vecino del sur), además de robar dinero a bancos. De momento parece que no hay confirmación oficial de esto.

De KevDroid existen por lo menos dos variantes. La más reciente, que apareció en marzo de 2018, es capaz de robar los siguientes datos:

  • La lista de aplicaciones instaladas.
  • El número de teléfono.
  • El ID único del teléfono.
  • La localización mediante la activación del GPS. Esta información es recolectada cada 10 segundos, lo que convierte a esta característica en una agresiva herramienta de espionaje.
  • La información de los contactos, abarcando nombres, números de teléfonos, emails, fotos, etc.
  • Los SMS almacenados.
  • El registro de llamadas.
  • Los emails almacenados.
  • Las fotos.
  • Es capaz de grabar las llamadas, algo para lo cual se apoya en un software de código abierto publicado en GitHub.
  • Como medio de difusión ha utilizado un instalador APK con el nombre Update y el logo de Android para hacerlo más creíble.

Por su parte, la otra variante, que apareció en febrero de 2018, incluye las siguientes posibilidades:

  • Grabar mediante la cámara.
  • Grabar audio.
  • Robar el historial web.
  • Robar ficheros.
  • Se ha distribuido como una aplicación con el nombre de PU y sin icono.
  • Para almacenar los datos utilizaba una variante de SQLite.
  • Acceso como root al dispositivo, algo para lo cual se apoya en la explotación de la vulnerabilidad CVE-2015-3636 mediante un código publicado en GitHub.

Las dos variantes analizadas por los expertos de Talos enviaron los datos utilizando HTTP POST a un único servidor de mando y control alojado en la red de transmisión de datos global PubNub.

Evitar las aplicaciones maliciosas en forma de troyano, aunque no es algo que se pueda conseguir al 100%, no resulta difícil. Para ello solo hay que evitar las aplicaciones de origen desconocido o procedentes de tiendas de terceros; en caso de ver una aplicación sospechosa, no utilizarla y restablecer las configuración de fábrica del dispositivo móvil; además de mantener la opción que permite instalar de fuentes desconocidas inhabilitada.

Fuente: Muy Seguridad