Herramienta de acceso remoto arremete con Android APK Carpeta

Fuente http://adf.ly/ff0q4

En un blog anterior , hablamos sobre el surgimiento de herramientas de acceso remoto (RAT) escrito en Java que son capaces de funcionar con varios sistemas operativos. Con la creciente popularidad del sistema operativo Android, que no es ninguna sorpresa que el sistema operativo Android es el último objetivo y no es inmune a las ratas. Desde finales del año pasado, foros clandestinos han estado ofreciendo una RAT Android libre conocido como AndroRAT ( Android.Dandro ). Ahora, como era de esperar, la economía subterránea que abastece a las necesidades de los ciberdelincuentes ha creado las primeras herramientas (llamadas "carpetas") que fácilmente permiten a los usuarios volver a empaquetar y Trojanize aplicaciones Android legítimas con AndroRAT.

Figura 1. Una herramienta de "carpeta" que se vende en foros underground anuncia como el primer aglutinante nunca

En noviembre de 2012, un RAT de código abierto para Android llamado AndroRAT fue publicado y accesible a todo el mundo en Internet. Al igual que otras ratas, que permite a un atacante remoto controlar el dispositivo infectado utilizando un panel de control fácil de usar. Por ejemplo, cuando se ejecuta en un dispositivo, AndroRAT puede monitorear y realizar llamadas de teléfono y mensajes SMS, obtener coordenadas GPS del dispositivo, activar y usar la cámara y el micrófono y acceso a archivos almacenados en el dispositivo.

Figura 2. panel de control de AndroRAT

El RAT viene en forma de APK que es el formato estándar para la aplicación Android. Cuando se utiliza junto con el aglutinante AndroRAT APK, fácilmente se permite a un atacante con experiencia limitada para automatizar el proceso de infectar cualquier aplicación Android legítima con AndroRAT, Trojanizing así la aplicación. Cuando la versión troyanizado de la aplicación legítima está instalado en el dispositivo, el usuario instala sin sospechar nada AndroRAT junto a la aplicación legítima que pretendían instalar. Esto permite al atacante eludir elementos del modelo de seguridad de Android a través del engaño. Hasta la fecha, Symantec ha contado 23 casos de aplicaciones legítimas populares que troyanizado en la naturaleza con AndroRAT.

Posteriormente, también hemos visto una rata Java comercial llamado Adwind ( Backdoor.Adwind ) que ya es compatible con varios sistemas operativos y parece estar en el proceso de incorporación de un módulo de Android con sede fuera del código fuente abierto AndroRAT. De nuevo, esto RAT también cuenta con una interfaz gráfica de usuario que permite a los atacantes para gestionar y controlar el RAT de forma remota.

Figura 3. panel de control principal Adwind

Un video de demostración que muestra Adwind trabajar con Android también muestra la presencia de AndroRAT en el teléfono infectado, lo que sugiere que los autores de Adwind pueden personalización de la herramienta AndroRAT incorporarlo en Adwind. Este desarrollo no es ninguna sorpresa, ya que la naturaleza de código abierto del código AndroRAT significa que puede ser fácilmente personalizado en nuevas amenazas y herramientas.

Figura 4. Captura de vídeo Adwind mostrando la presencia de AndroRAT en el dispositivo infectado

En la actualidad, Symantec telemetría muestra sólo varios cientos de infecciones de Android.Dandro todo el mundo, con Estados Unidos y Turquía siendo los países más focalizados. Sin embargo, la telemetría está reportando un aumento en el número de infecciones en los últimos tiempos, que esperamos que continúe tanto como la disponibilidad y la sofisticación de las herramientas para el incremento AndroRAT.

Figura 5. mapa de calor de infecciones

La evolución de las herramientas de acceso remoto que se desplazan a la plataforma Android se predijo. Mientras AndroRAT no está mostrando un nivel particularmente alto de sofisticación por el momento, con la naturaleza de código abierto de su código y con su creciente popularidad, que tiene potencial para evolucionar y convertirse en una amenaza más seria.

Se recomienda la instalación de una aplicación de seguridad, como Norton Mobile Security , que detecta esta amenaza como Android.Dandro. Para consejos generales de seguridad para smartphones y tablets, por favor visite nuestro Mobile Security sitio web.