Primer troyano enviado desde Botnet controlados por terceros

Kaspersky acaba de anunciar que por primera vez se detecta troyano difundido por redes Botnet manejadas por delincuentes que actúan como terceros.

Botnet_Wide

Kaspersky anunció que detectó por primera vez en el área de internet móvil, un troyano transmitido a dispositivos Android a través de redes Botnet (Término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática), que son controladas por grupos de delincuencia virtual independientes.

La compañía experta en temas de seguridad global, se dedicó a rastrear durante los últimos tres meses, cómo se distribuía el troyano Obad.a, una aplicación maliciosa que fue creada para atacar a los usuario de Android. Según la investigación la manera como opera el ataque es a través de  cibercriminales que han adoptado una nueva técnica para propagar malware. Se trata del uso de redes botnets controladas por otros grupos delictivos. Obad.a se encuentra sobre todo en los países de la CEI. En total, el 83% de los intentos de infección se registraron en Rusia, mientras que también se ha detectado en los dispositivos móviles en Ucrania, Bielorrusia, Uzbekistán y Kazajstán.

El modelo de distribución más interesante contó con diferentes versiones de Obad.a, propagándose a través de Trojan-SMS.AndroidOS.Opfake.a. Este intento de doble infección comienza con el envío de un mensaje de texto a los usuarios, invitándoles a entrar en un link. Una vez que la víctima hacía  clic en el vínculo, el archivo que contenía Opfake.a se descargaba automáticamente en el smartphone o tableta.

El archivo malicioso sólo podía instalarse si el usuario hacía clic en el enlace. Si esto sucedía, el troyano enviaba mensajes a todos los contactos del dispositivo recién infectado. Un proveedor de telefonía móvil de Rusia informó del envío de más de 600 mensajes con estos enlaces en sólo cinco horas, por lo que la distribución es masiva. En la mayoría de los casos, el malware se extendió a dispositivos que ya estaban infectados.

Aparte de usar botnets móviles, el troyano también se distribuye a través de mensajes de spam. Por lo general, el mensaje recibido advierte al usuario sobre una deuda pendiente. También se extendió a través de tiendas de aplicaciones falsas. Los ciberdelincuentes copian el contenido de páginas de Google Play, y sustituyen los enlaces legítimos por otros maliciosos. Todos los usuarios de cualquier tablet o móvil, sea cual sea su sistema operativo, puede ser redirigido a estos sitios falsos, aunque sólo los usuarios de Android corren el riesgo de ser infectados.

Roman Unuchek, experto de Kaspersky Lab. Declaró que los tres meses de estudio y seguimiento los investigadores detectaron  12 versiones distintas del Backdoor.AndroidOS.Obad.a, la cuales tenían las mismas funciones y un alto nivel de ofuscación de código, y cada una utilizaba una vulnerabilidad de Android OS a la que le da los derechos DeviceAdministrator de malware, haciéndolo mucho más difícil de eliminar. Nada más descubrirlo, informamos a Google y la brecha se ha cerrado en Android 4.3. Sin embargo, sólo unos pocos smartphones y tabletas nuevos ejecutan esta versión, y los dispositivos más antiguos que ejecutan versiones anteriores siguen estando amenazados, afirma Roman Unuchek, experto de Kaspersky Lab.

Por las características del modelo de distribución del troyano, Kaspersky se atreve a concluir que se trata de una especie de alianza entre ciberdelincuentes que se facilitan entre sí para alquilar o controlar las redes botnet.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *