Descubren malware que utiliza posts como sistemas de comando y control

Aunque la mayor parte del malware moderno se basa en servidores distantes para sus actualizaciones de código, además de para pedir instrucciones, un analista de la empresa de seguridad Trend Micro asegura haber descubierto un malware para Android que utiliza los posts como sistemas de comando y control.

La evolución que se está viendo en el malware para Android recuerda al que ya se vio en el de Windows en los años ’90, cuando se utilizaron los canales IRC (internet Relay Chat) –una versión de mensajería instantánea, para controlar la ejecución de código ‘darkware’, aseguran en Infosecurity.

El primer malware que se ha descubierto que hace esto se conoce como ANDROIDS_ANSERVER.A, que se presenta como una aplicación de lector de libros electrónicos y se descarga desde tiendas de aplicaciones de China, pidiendo los siguientes permisos: Acceso a los ajustes de red, acceso a internet, control de las alertas, desactivar el bloqueo del teclado, hacer llamadas, leer los registros de los archivos, leer y escribir los detalles de los contactos, restaurar las aplicaciones, activar el dispositivos y escribir, leer, recibir y enviar SMS.

Los análisis realizados por los investigadores de Trend Micro han descubierto que este malware tiene dos servidores de comando y control con los que se conecta para poder recibir instrucciones. El primero es el habitual site remoto al que acceder el malware en busca de información, escribe Karl Dominguez en su post.

El segundo, que es el que ha llamado la atención del investigador, es un blog con contenido cifrado. Se trata de la primera vez que un malware de Android que utiliza este tipo de técnica para comunicarse.

Un análisis más profundo del contenido del blog muestra seis post cifrados que incluyen direcciones de Internet de servidores de comando y control, además de 18 binarios que han sido subidos al blog entre 23 de julio y el 26 de septiembre; una de las actualizaciones se llama ‘_test’, lo que sugiere que el malware aún está en desarrollo.

Al descifrar el post y analizar los binarios, Dominguez dice haber encontrado que los archivos son versiones diferentes de uno y que estudiando todas ha descubierto que las versiones más nuevas tienen la capacidad de mostrar notificaciones que intentan llevar a los usuarios a que descarguen la actualización.

En su post Dominguez asegura que utilizar una plataforma de blog en las actividades de malware no es nueva, es algo que se vio a primeros de año cuando se descubrió a una botnet utilizando Twitter para controlar los sistemas infectados. Sí que es un signo, dice el investigador “del continuado desarrollo y proliferación” del malware móvil.