Se ha observado un nuevo ejemplar de Troyano para la plataforma móvil Android con algunas características similares a las encontradas en el malware asociado a botnets.
La empresa china de seguridad NetQin realizó la primera observación. A principios de diciembre ya se publicó una noticia en CNETNews China sobre este malware alertando de su existencia.
El ejemplar estudiado por la empresa LookOut, es más sofisticado ya que permite una vez instalado en el dispositivo de la víctima recibir comandos desde un servidor remoto de control.
El resto de características presentan los puntos comunes en este tipo de malware: El troyano va insertado en aplicaciones reempaquetadas y que presentan un aspecto "sano", descargables desde páginas chinas de aplicaciones para Android.
De hecho en principio solo afecta al público chino. Tras la instalación y la solicitud al usuario de los permisos y excepciones de seguridad, el ejemplar se dispone a recabar datos sobre la terminal como el IMEI, el IMSI (número de identificación de la SIM) o la geolocalización del usuario entre otros. También el troyano puede desinstalar e instalar aplicaciones, aunque para ello necesite el permiso del usuario.
Geinimi viene con una lista de unos diez dominios preconfigurados a los que interroga cada 5 minutos. Si uno de ellos responde el troyano envía los datos capturados al servidor.
El bytecode de Geinimi envía y recibe cifrada como medio de defensa frente a análisis.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4452
No hay comentarios:
Publicar un comentario