fudmario Posted April 4, 2014 Share Posted April 4, 2014 Aproximadamente hace dos meses se reportó la existencia de una infección esparcida a través de un bootkit, denominado Oldboot.A que había infectado, en los últimos 8 meses, a más de 500 mil usuarios de smartphones que utilizaban Android como sistema operativo, al rededor del mundo, especialmente en China. Oldboot es una pieza de malware que esta diseñada para reinfectar dispositivos a pesar de recibir una desinfección exhaustiva. El malware reside en la memoria de los dispositivos infectados, modifica la partición de boot del dispositivo y cuando éste inicia, se carga el archivo script para activar el servicio del sistema pero con la orden de extraer el software malicioso durante las primeras etapas de booteo del sistema. Otro reporte alarmante acerca del malware Oldboot fue publicado por investigadores chinos de This is the hidden content, please Sign In or Sign Up .Descubrieron una nueva familia de Oldboot.A denominada Oldboot.B, diseñada exactamente como Oldboot.A, pero la nueva variante tiene nuevas técnicas de ocultamiento. Específicamente la defensa en contra de los sitemas antivirus, analizadores de malware y herramientas de análisis automatizadas. "La familia de troyanos Oldboot han tenido una significante importancia en estas tendencias", mencionó el investigador. Las capacidades de Oldboot.B, son las siguientes: Puede instalar aplicaciones maliciosas en segundo plano. Puede inyectar módulos maliciosos en procesos del sistema. Prevee la desinstalación de la aplicación con el malware. Oldboot.B puede modificar la página principal del explorador de Internet. Tiene la habilidad de desactivar o desinstalar software especializado en antivirus para móviles. Infección e instalación de más aplicaciones con malware Una vez que el dispositivo fue infectado por el troyano Oldboot.B, éste escuchará las comunicaciones a través de un socket, recibiendo y ejecutando códigos de comandos y archivos de configuración descargados de un servidor Command and Control (C&C), localizado en la dirección az.o65.org con la IP (61.160.248.67). Después de la instalación, el troyano Oldboot instala aplicaciones de Android maliciosas o juegos en el dispositivo infectado, que no son instalados por el usuario. Arquitectura del malware Oldboot.B tiene una arquitectura que incluye cuatro componentes principales, los cuales, automáticamente se ejecutan durante el inicio del sistema registrándose a sí mismos como un servicio del script init.rc This is the hidden content, please Sign In or Sign Up 1) boot_tst. Utiliza la técnica de inyección remota que inyectan un archivo SO y un archivo tipo JAR en proceso 'system_server' del sistema de Android, éste esta escuchando contínuamente al socket y ejecuta los comandos enviados. This is the hidden content, please Sign In or Sign Up 2) adb_server. Reemplaza el script pm del sistema Android con sí mismo y se usa para la función de antidesinstalación. This is the hidden content, please Sign In or Sign Up 3) meta_chk. Actualiza el archivo de configuración, descarga e instala aplicaciones de Android en segundo plano. El archivo de configuración se encuentra cifrado, lo cual incrementa el trabajo de analizarlo. Para evadir la detección, meta_chk se destruye a sí mismo borrándose del sistema de archivos y dejando solamente los procesos de inyección. Los antivirus de Android no tienen la capacidad de hacer un escaneo de procesos en memoria, por lo cual no pueden detectar o borrar el troyano Oldboot, que aún reside en el sistema. This is the hidden content, please Sign In or Sign Up 4) agentsysline. Es un módulo escrito en C++ que corre un demonio (en segundo plano) el cual recibe los comandos de un Servidor Command and Control (C&C). El componente no puede desinstalarse por un software antivirus, éste demonio borra archivos específicos, conecta y desconecta la conexión a la red, entre otras cosas. This is the hidden content, please Sign In or Sign Up Los problemas de los investigadores de seguridad Para incrementar el problema de los análizadores de malware: Se agregan códigos sin importancia y disparadores de algún comportamiento aleatorio. Checa la disponibilidad de la tarjeta SIM en el dispositivo, si no se encuentra, no realiza ciertas actividades para engañar a la SandBox (entorno de prueba) o emuladores. Checa la existencia de software antivirus y puede desinstalarlo antes de hacer alguna acción maliciosa. El malware utiliza técnicas de esteganografía para ocultar información de configuración en las imágenes. This is the hidden content, please Sign In or Sign Up "Antes de hacer un análisis, encontramos el archivo de configuración meta_chk escondido en esta imagen. El archivo contiene el comando que será ejecutado por el meta_chk junto con otra información", mencionaron los investigadores. El tamaño de este archivo de configuración es de 12, 508 bytes. Dependiendo de los comandos enviados por el Servidor C&C, se pueden realizar diferentes actividades, como mandar mensajes SMS falsos para ataques de phishing y otros. Impulsada por las ganancias, la familia de troyanos Oldboot cambia rápidamente para reaccionar ante cualquier situación". Oldboot.B es uno de los más avanzados sistemas malware de Android, es muy difícil de remover, pero la firma de antivirus 360 Mobile Security también ha lanzado una herramienta de detección del troyano Oldboot gratis, la cual se puede descargar de su sitio This is the hidden content, please Sign In or Sign Up . Para evadir la infección, los usuarios de smartphones deben instalar solamente aplicaciones de tiendas autorizadas; asegurandose también que la configuración 'uknow sources' se encuentre deshabilitada previendo incidencias o descargas por defecto por la instalación de otras aplicaciones; es recomendable también no usar ROM sin certificado e instalar una aplicación de seguridad en el dispositivo. Fuente: This is the hidden content, please Sign In or Sign Up JC Link to comment Share on other sites More sharing options...
.webp.8407a83ac96563f75e1c428a1f0d4c3e.webp)
.webp.9a04cec050a656fab081ac190f971c3f.webp)
Hack Tools Resurrection
Recommended Posts