Los investigadores de seguridad de Cisco Talos han descubierto variantes de un nuevo troyano de Android que se están distribuyendo muy rápidamente como una falsa aplicación de antivirus, llamada “Naver Defender”.
Apodado KevDroid, el malware es una herramienta de administración remota (RAT) diseñada para robar información sensible de dispositivos Android que hayan sido comprometidos, así como también es capaz de grabar las llamadas telefónicas.
Los investigadores de Talos publicaron el lunes detalles técnicos sobre dos variantes recientes de KevDroid detectadas, tras el descubrimiento inicial del troyano por la firma de seguridad cibernética de Corea del Sur, ESTsecurity, hace dos semanas.
Aunque los investigadores no han atribuido el malware a ningún grupo de ciberdelincuentes o patrocinado por algún estado para actividades de espionaje, los medios de Corea del Sur han vinculado a KevDroid con el grupo de cibercriminales patrocinado por Corea del Norte llamado “Group 123“, conocido principalmente por atacar objetivos en Corea del Sur.
La variante más reciente del malware KevDroid, detectada en marzo de este año, tiene las siguientes capacidades:
- Grabar llamadas telefónicas.
- Robar historial web y archivos.
- Obtener acceso root al smartphone.
- Robar registros de llamadas, SMS, correos electrónicos.
- Recolectar la ubicación del dispositivo cada 10 segundos.
- Recoger una lista de aplicaciones instaladas.
El malware utiliza una biblioteca de código abierto, disponible en GitHub, para obtener la capacidad de grabar llamadas entrantes y salientes desde el dispositivo Android comprometido.
Aunque ambas muestras de malware tienen las mismas capacidades de robar información en el dispositivo comprometido y grabar las llamadas telefónicas de la víctima, una de las variantes incluso explota una falla conocida de Android (CVE-2015-3636) para obtener acceso raíz en el dispositivo comprometido.
A continuación, todos los datos robados se envían a un servidor de control y comando (C&C) controlado por el atacante, que está alojado en la red global de flujo de datos de PubNub, utilizando una solicitud HTTP POST para no despertar sospecha.
Los investigadores también descubrieron una RAT similar llamada PubNubRAT, diseñada para los usuarios de Windows, que comparte el mismo servidor de C&C y también utiliza la API PubNub para enviar comandos a los dispositivos comprometidos.