En los últimos meses, los equipos de seguridad han observado la aparición de una puerta trasera de Android altamente versátil, android.backdoor.916.origin, disfrazada de una aplicación antivirus legítima.
Distribuido a través de servicios de mensajería privada bajo el pretexto de “GuardCB”, su ícono imita de cerca el emblema del banco central de la Federación Rusa contra un fondo de escudo.
Los íconos de la aplicación maliciosa engañan a las víctimas potenciales (Fuente – Dr.Web)
Aunque la interfaz muestra solo las indicaciones del idioma ruso, este malware se ha implementado en campañas específicas contra ejecutivos de negocios rusos, extrayendo comunicaciones corporativas confidenciales y datos personales.
Tras la instalación, el antivirus falsificado simula los escaneos del sistema, “detectando” al azar entre una y tres amenazas ficticias, con tasas de detección que aumentan cuanto más tiempo un dispositivo permanece sin escanear, aunque nunca superior al 30 por ciento.
Este comportamiento engañoso arrulla a las víctimas para creer que la aplicación proporciona una protección genuina.
Debajo de esta chapa, la puerta trasera solicita silenciosamente una lista prolongada de permisos: geolocalización, grabación de audio, acceso SMS y contactos, control de la cámara, ejecución de fondo, derechos del administrador del dispositivo y privilegios de servicio de accesibilidad.
Falso de la herramienta (Fuente – Dr.Web)
Dr.Web Investigadores anotado Que una vez que se otorgan estos permisos, el malware inicia múltiples servicios persistentes que se auto-mononitoran cada minuto, reconectando su infraestructura de comando y control (C2) siempre que sea necesario.
A través de puertos C2 separados, los operadores pueden cosechar registros de llamadas, tráfico SMS, listas de contactos y datos de geolocalización; transmitir capturas de audio de micrófono, video de cámara o pantalla del dispositivo; imágenes de sifón almacenado; e incluso ejecutar comandos de shell arbitrarios.
La capacidad del troyano para alternar rutinas de defensa propia a través del servicio de accesibilidad le permite frustrar los intentos de eliminación superponiendo las interfaces falsas del sistema o deshabilitando las opciones de desinstalación.
La sofisticación de Android.Backdoor.916.origin está subrayada por su configuración dinámica, que puede incorporar hasta quince proveedores de alojamiento diferentes, aunque solo un subconjunto está activo en las campañas actuales.
Las notificaciones del registro de dominios han provocado algunos derribos, pero la resiliencia similar a la mula de la red C2 continúa frustrando a los defensores.
El Antivirus Dr.Web para Android detecta y elimina con éxito variantes conocidas, sin embargo, la naturaleza personalizada de estos ataques subraya la necesidad de una mayor vigilancia entre los círculos ejecutivos.
Mecanismo de infección y persistencia
Android.Backdoor.916.origin emplea un mecanismo de infección adaptado a la ingeniería social y la respuesta lateral en lugar de la explotación de vulnerabilidades de software.
Ejemplos de permisos solicitados (Fuente – Dr.Web)
Las víctimas reciben un archivo APK malicioso disfrazado de “Guardcb.apk” a través de hilos de mensajero cifrados. Una vez ejecutado, el manifiesto de la aplicación registra los servicios de fondo y el servicio de accesibilidad, como se ilustra en el fragmento a continuación:-
Al abusar de la API de accesibilidad, el malware gana capacidades de registro de pulsación de tecla y intercepción de datos en la aplicación, asegurando la presencia duradera incluso después de las secuencias de reinicio de la parada de fuerza o del dispositivo.
Las verificaciones de salud continuas y los reinicios de servicios automáticos garantizan que la puerta trasera permanece activa, cosechando en silencio los datos hasta que se eliminen manualmente.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
