Sabes cómo funcionan los ejércitos, ¿verdad? Primero entran las tropas de reconocimiento para asegurarse que todo esté tranquilo y luego llega la infantería pesada. Bueno, por lo menos, esto es lo que pasaba antes de que vinieran las ciberguerras. Pero resulta que los troyanos actúan más o menos de la misma manera.
Hay una gran variedad de pequeños troyanos para dispositivos Android que pueden obtener los permisos de acceso o, en otras palabras, los permisos de root. Nuestros analistas de malware, Nikita Buchka y Mikhail Kuzin, podrían nombrar fácilmente al menos 11 familias de troyanos de este tipo. La mayoría de ellos son casi inofensivos, hasta ahora todo lo que hacían era introducir miles de anuncios y descargar otros troyanos del mismo estilo. Si quieres saber más sobre este tema, nuestros investigadores han publicado un interesante artículo en Securelist.
Siguiendo con la analogía militar, estas serían las tropas de reconocimiento. Como ya habrás notado, los accesos root otorgan a los troyanos la posibilidad de descargar e instalar aplicaciones; por eso, en el momento en que uno entra en el sistema, es solo cuestión de minutos que lleguen los demás. Ya predijeron nuestros investigadores que estos pequeños troyanos serían utilizados para descargar malware más peligroso y dañino para los dispositivos infectados.
Dangerous trends taking root in #mobile phones https://t.co/DkLD8KhSuk #research pic.twitter.com/wc3NfSSv3Z
— Securelist (@Securelist) August 27, 2015
Y es justo lo que ha ocurrido hace poco. Los pequeños troyanos como Leech, Ztorg y Gopro ahora descargan uno de los troyanos más avanzados que nuestros analistas de malware han encontrado nunca: el llamado Triada.
Triada es un troyano modular para móviles que utiliza los accesos root para sustituir archivos de sistema; se encuentra sobre todo en la memoria RAM, por eso es tan difícil de detectar.
Los oscuros métodos de Triada
Tras ser descargado e instalado, el troyano Triada primero intenta recopilar información acerca del sistema, como el modelo del dispositivo, la versión del sistema operativo, el tamaño de la tarjeta SD, las aplicaciones instaladas, etc. Luego envía toda esta información al servidor de mando y control (C&C). Hemos detectado un total de 17 servidores C&C en 4 dominios diferentes, una actitud bastante redundante por parte de los cibercriminales.
El servidor C&C responde con un archivo de configuración que contiene el número personal de identificación del dispositivo, además de otras configuraciones, como, por ejemplo, el intervalo de contacto con el servidor, la lista de módulos para instalar, etc. Después de ser instalados, los módulos pasan a la memoria a corto plazo y se borran de la memoria de almacenamiento del dispositivo, para que sea más difícil detectar el troyano.
Existen otras dos razones por las que resulta tan complicado encontrar a Triada y que impresionaron mucho a nuestros investigadores. En primer lugar, Triada modifica el proceso Zygote del sistema operativo Android, utilizado como plantilla para cualquier aplicación. Esto significa que, una vez que el troyano entra en Zygote, este empieza a formar parte de literalmente todas las aplicaciones iniciadas en el dispositivo.
En segundo lugar, Triada sustituye las funciones del sistema y oculta sus módulos de la lista de procesos en ejecución y de las aplicaciones instaladas. Por lo tanto, el sistema no detecta procesos anómalos y no envía ninguna señal de alerta.
Triada no solo modifica estas funcionalidades. Nuestros investigadores descubrieron que también se entromete en la bandeja de salida de los SMS y filtra los mensajes de la bandeja de entrada. Así es como los cibercriminales decidieron ganar dinero con el troyano.
#PODEC: el primer troyano para #Android capaz de hacerse pasar por humano y engañar a CAPTCHA http://t.co/CX3Z9XND61 pic.twitter.com/2nxxKrWidJ
— Kaspersky España (@KasperskyES) April 19, 2015
Algunas aplicaciones dependen de los SMS para realizar las compras, de hecho, los datos de las transacciones se transmiten a través de los mensajes de texto. La razón principal por la que los desarrolladores prefieren los SMS a los métodos de pago tradicionales online es que con los SMS no hace falta conexión a Internet. Los usuarios no visualizan estos SMS porque se gestionan, no a través de la compañía que proporciona el servicio de SMS, sino por la aplicación que inicia la transacción, por ejemplo, un juego gratuito.
El sistema de Triada modifica estos mensajes, por lo que el dinero no llega a los desarrolladores de la aplicación, sino a los cibercriminales. Triada roba el dinero tanto a los usuarios (que no consiguen adquirir lo que desean) como a los desarrolladores de la app (en caso de que el usuario haya completado el proceso de compra).
De momento, así es como los cibercriminales utilizan Triada en su beneficio, pero no olvidemos que se trata de un troyano modular, por lo que se podría transformar en cualquier cosa al recibir una orden del servidor C&C.
El #troyano #Asacub infecta el dispositivo #Android y obtiene el CONTROL TOTAL del sistema https://t.co/qMIf4lzC4M pic.twitter.com/0GSgomkJqY
— Kaspersky España (@KasperskyES) January 22, 2016
La lucha contra el crimen organizado en tu móvil
Uno de los problemas principales es que Triada puede dañar a MUCHÍSIMOS usuarios. Como hemos dicho anteriormente, Triada se descarga a través de troyanos más pequeños que consiguen privilegios de acceso. Nuestros investigadores calculan que, durante la segunda mitad de 2015, cada 10 segundos un troyano ha atacado a un usuario de Android; en consecuencia, existe una alta probabilidad de que millones de dispositivos puedan estar infectados por Triada.
Entonces, ¿qué puedes hacer para protegerte?
1. No te olvides de actualizar el sistema. Resulta que los troyanos más pequeños tienen muchos problemas a la hora de obtener los accesos root de las versiones Android 4.4.4. en adelante, ya que, a partir de esta, se han parcheado muchas vulnerabilidades. Si tienes instalada la versión Android 4.4.4 u otras más recientes, se reduce mucho la posibilidad de que tu dispositivo sea infectado por Triada. Nuestras estadísticas revelan que alrededor del 60% de los usuarios Android sigue utilizando la versión 4.4.2 de Android o incluso versiones anteriores.
2. Lo mejor es no correr ningún riesgo, independientemente de la versión del sistema operativo que utilices. Por eso recomendamos la instalación de una solución antivirus en tu dispositivo Android. Kaspersky Internet Security para Android detecta los tres módulos de Triada, así tu dinero estará a salvo de los cibercriminales. No olvides que en la versión gratuita, el análisis no arranca automáticamente.
Triada es otro ejemplo que refleja una tendencia realmente negativa: los desarrolladores de malware se están tomando muy en serio el tema de Android, y los últimos ejemplares para esta plataforma son tan complejos y difíciles de eliminar como los desarrollados para Windows. Una buena manera para luchar contra estas amenazas es tener una actitud proactiva y, naturalmente, utilizar una buena solución de seguridad.