SpyDealer, conoce esta amenaza que roba datos de las aplicaciones Android

Escrito por Adrián Crespo

Tal y como han confirmado desde la empresa Palo Alto Networks, una amenaza disponible para dispositivos con sistema operativo Android es capaz de filtrar información asociada a aplicaciones de mensajería ayudándose de una funcionalidad del propio sistema operativo. Estamos hablando del troyano SpyDealer, que durante las últimas semanas ha cobrado especial protagonismo.

Han sido muchos los troyanos bancarios que hemos visto afectando a los usuarios del sistema operativo móvil de los de Mountain View. La actividad no se va a ver reducida ni mucho menos. Esto se sustenta sobre todo por el aumento de operaciones que realizan los usuarios recurriendo a su smartphone o tablet.

La amenaza que nos ocupa es capaz de robar información procedente de aplicaciones de mensajería gracias a las funciones de accesibilidad del sistema operativo, otorgando incluso la posibilidad de alcanzar permisos de administrador, lo que implica que el control sobre el dispositivo y la información sea total.

De acuerdo con la información vertida por Palo Alto Networks, el control del dispositivo se puede realizar a través de paquetes TCP, UDP o incluso mensajes de texto.

¿Qué aplicaciones se pueden ver afectadas por SpyDealer?

Aunque es un listado provisional, basta con pensar cuáles son las apps que más utilizan los usuarios para hacernos una idea de las que forman parte de este listado. WeChat, Facebook, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo, Android Native Browser, Firefox Browser, Oupeng Brower, QQ Mail, NetEase Mail, Taobao y Baidu Net Disk son las que forman parte de un listado hecho público por la empresa encargada de realizar el análisis de la amenaza.

Método de infección del dispositivo

Este aspecto no deja lugar a dudas. La aplicación falsa que contiene este troyano está disponible sobre todo en tiendas de aplicaciones no oficiales y a través de páginas web que ofrecen contenidos de procedencia más que dudosa.

Por este motivo se recomienda siempre hacer uso de las tiendas de aplicaciones oficiales, aunque ya hemos comprobado que en los últimos meses también se han visto afectadas por aplicaciones malware que han conseguido evitar los sistemas de verificación.

Información que se recopila nada más llegar el dispositivo

Por parte de Palo Alto Networks han detectado que una vez se ha completado el proceso de instalación, se realiza una primera recopilación de información, relacionada sobre todo con información del dispositivo infectado. Información del Wi-Fi, IMEI, SMS, MMS, listado de cuentas de correo electrónico, agenda de contactos y así hasta completar una lista bastante amplia.

Pero esta no es la única información, tal y como ya hemos comentado con anterioridad. Se vale de las funciones de accesibilidad para conseguir permisos de administrador dentro del dispositivo y así proceder con el robo de la información de las aplicaciones de mensajería que ya hemos citado anteriormente.

La versión más antigua de este troyano data de mediados del año 2015, siendo ahora cuando más actividad muestra. Los expertos en seguridad indican que son tres las variantes que en la actualidad se encuentran en funcionamiento

Analizando la amenaza, también han logrado concretar algunos aspectos relacionados con la comunicación. Sin ir más lejos, utiliza los puertos TCP y UDP 39568 para establecer comunicación con un recurso remoto y así recibir comandos o enviar la información recopilada.

Fuente > Security Week

Últimos análisis

Valoración RZ
10
Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9