Troyano para Android roba datos de Facebook Messenger, Skype y otros clientes de mensajería instantánea

Los investigadores en ciberseguridad han encontrado una nueva cepa de malware de Android que ha sido diseñada para robar datos de los clientes de mensajería instantánea móvil.

Este nuevo troyano es bastante simple en su diseño, dijo un investigador de la firma de seguridad cibernética Trustlook en un informe publicado el lunes (No disponible actualmente).

El Troyano tiene solo un puñado de características

El troyano tiene solo algunas habilidades. El primero es obtener la persistencia de arranque desempacando el código de los recursos de una aplicación infectada. El código intentará modificar el archivo "/system/etc/install-recovery.sh", que si tiene éxito, permitiría que el malware se ejecute con cada arranque.

En segundo lugar, el malware puede extraer datos de los siguientes clientes de Android IM, datos que luego cargará a un servidor remoto. El malware recupera la IP de este servidor desde un archivo de configuración local.

Facebook Messenger
Skype
Telegram
Twitter
WeChat
Weibo
Viber
Line
Coco
BeeTalk
Momo
Voxer Walkie Talkie Messenger
Gruveo Magic Call
TalkBox Voice Messenger

Los investigadores detectaron el malware dentro de una aplicación china llamada Cloud Module(en chino), con el nombre del paquete com.android.boxa.

Características simples, pero técnicas avanzadas de evasión

Los investigadores de Trustlook dicen que a pesar del enfoque singular en el robo de datos de IM, el malware usa algunas técnicas de evasión avanzadas. Por ejemplo, el malware utiliza técnicas de detección de anti emulador y depurador para evadir el análisis dinámico, y también oculta cadenas dentro de su código fuente para frustrar los intentos de reversión del código.

Es extraño que el malware de Android solo venga con una sola funcionalidad, que permite extraer y extraer datos de mensajería instantánea. Una teoría para esta opción de diseño sería que los atacantes están recopilando conversaciones privadas, imágenes y videos, en un intento de identificar datos confidenciales que luego podrían aprovechar en intentos de extorsión.

Los investigadores no han compartido ninguna información sobre los métodos de distribución del malware, pero teniendo en cuenta que el malware tiene un nombre chino y que no hay Play Store en China, los autores del malware pueden estar distribuyendo la aplicación maliciosa a través de tiendas y enlaces de terceros en Android en foros.