A newly detailed Android banking Trojan is capable of performing new types of attacks by gaining root privileges on the infected devices, Kaspersky Lab researchers warn.
Traducción Google :
Apodado Tordow y detectado como Trojan-Banker.AndroidOS.Tordow.a , la amenaza está siendo distribuido a través de las aplicaciones más populares infectados fuera de la oficial de Google Play Store. Los autores del troyano se esconden dentro de versiones modificadas de VKontakte, DrugVokrug, Pokemon Go, Telegrama, Odnoklassniki, o aplicaciones de metro Surf Android, dicen los investigadores.
Los programas modificados se comportan como los originales, sino que también incluyen la funcionalidad malicioso añadido a ellos. En este caso particular, el código incrustado descifra un archivo que se ha añadido en los recursos de la aplicación y la lanza. El archivo se conecta al servidor del atacante y descarga el módulo de Troya principal, que también contiene enlaces a varios más archivos.
- Kaspersky Anton Kivva explica que la parte principal de Tordow enlaza a un exploit para obtener privilegios de root en el dispositivo comprometido y con una nueva versión de software malicioso, así como a otros archivos, dependiendo de las intenciones del atacante. Lo que es más, cada uno de los componentes descargados pueden descargar e instalar módulos adicionales, lo que eventualmente podría resultar en ser el dispositivo de forma remota controlada por los propietarios Tordow para diversos fines maliciosos.
Para un troyano bancario Tordow, esto amplía su gama de capacidades mucho más allá de los ataques de malware bancario y ofrece cibercriminales con un conjunto completo de funciones para robar dinero de los usuarios. La aplicación maliciosa puede enviar, robar, y borrar mensajes SMS; puede grabar, redirigir, y el bloque de llamadas ; puede revisar el balance de usuario;robar contactos; hacer llamadas; e incluso cambiar el comando y control (C & C) del servidor.
Además, se puede descargar y ejecutar archivos, puede instalar y eliminar aplicaciones, o bloquear el dispositivo y mostrar una página web especificada por un servidor malicioso (comportamiento se observa típicamente en ransomware). El malware también fue diseñado para generar y enviar una lista de archivos en el dispositivo, para enviar y cambiar el nombre de los archivos, y para reiniciar el teléfono.
También inusual para un troyano bancario es el uso de Tordow de un popular paquete de explotar para obtener privilegios de root en el dispositivo infectado, que ofrece una nueva vía de ataque y las características únicas, dice Kaspersky. Por ejemplo, el troyano puede instalar uno de sus módulos en la carpeta del sistema, lo que dificulta los intentos de extracción.
Más importante aún, el troyano permite a los atacantes robar la base de datos del navegador por defecto de Android y el navegador Google Chrome. Esto significa que los autores del Tordow acceder a los inicios de sesión de usuario y contraseñas almacenadas en el navegador, así como el historial de navegación, cookies, e incluso a los detalles de tarjetas bancarias.
Además de eso, los derechos de superusuario del troyano permiten a sus autores para robar casi cualquier archivo en el sistema, incluyendo fotos y documentos o archivos que contienen datos de la cuenta de aplicaciones móviles. Por lo tanto, Tordow ya no se dirige únicamente informativos bancarios, pero se puede robar enormes cantidades de datos de usuario críticos de los dispositivos infectados.
Latest posts by Jose Miguel (see all)
- Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
- Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
