Troyanos JSDealer permiten acceder a nuevas características y APIS de forma directa

11 junio, 2019
19 Compartido 2,214 Visualizaciones

Este tipo de código dañino tiene unas características particulares, entre las que destaca la creación de una nueva capa de envoltura JavaScript para la aplicación, permitiéndole acceder a nuevas características y APIS de forma directa.

El CCN-CERT del Centro Criptológico Nacional ha publicado en la parte privada de su portal el Informe de Código Dañino CCN-CERT_ID-09-19_JSDealer. Este documento recoge el análisis de la familia de troyanos para dispositivos Android identificada como JSDealer, la cual se trata de una evolución del troyano SMSPremium. Este malware presenta unas características particulares, entre las que destaca la creación de una nueva capa de envoltura JavaScript para la aplicación, permitiéndole acceder a nuevas características y APIS de forma directa. Además, se suscribe a mensajes premium de forma automática y sin la autorización del usuario.

Como es habitual en este tipo de Informes, el CCN-CERT incluye las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características Técnicas
  • Ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección y desinfección
  • Información del atacante
  • Referencias
  • Reglas de detección

Algunas de las características más destacadas de este código dañino son que simula una aplicación de postales románticas, solicita acceso a los SMS y a la cámara, envía mensajes de texto SMS, extrae información del dispositivo y que contiene ofuscación del C&C.

Para detectar si un dispositivo está, o ha estado infectado para cualquiera de sus usuarios, se recomienda utilizar alguna de las herramientas de Mandiant como el «Mandiant IOC Finder» o el colector creado por RedLine con los indicadores de compromiso generados para su detección. Además, el documento incluye las reglas de detección e Indicadores de Compromiso (IoC) correspondientes.

De haber resultado infectado, el CCN-CERt aconseja la utilización de herramientas antivirus actualizadas, así como la desinstalación de la aplicación y la desactivación del servicio premium. En última instancia, es recomendable el formateo y la reinstalación completa del sistema operativo, incluyendo los dispositivos USB conectados (siguiendo lo indicado en las guías CCN-STIC correspondientes) de todos aquellos dispositivos en los que se haya detectado algún indicador de compromiso o encontrado algún archivo o clave de registro indicados.

Te podría interesar

Descubren el primer malware clipper en Google Play
Actualidad
12 compartido1,222 visualizaciones
Actualidad
12 compartido1,222 visualizaciones

Descubren el primer malware clipper en Google Play

Vicente Ramírez - 13 febrero, 2019

Haciéndose pasar por la versión móvil de una app muy popular entre los usuarios de criptomonedas, las transacciones realizadas en…

Telefónica y Botech FPI combinan sus capacidades de ciberseguridad para combatir el fraude en el sector bancario
Actualidad
14 compartido1,277 visualizaciones
Actualidad
14 compartido1,277 visualizaciones

Telefónica y Botech FPI combinan sus capacidades de ciberseguridad para combatir el fraude en el sector bancario

Vicente Ramírez - 4 junio, 2019

El objetivo de este acuerdo es explotar las sinergias entre ambas compañías para ofrecer la oferta más completa y eficaz…

El fraude de las gasolineras que sirven menos combustible del pagado
Actualidad
1049 visualizaciones
Actualidad
1049 visualizaciones

El fraude de las gasolineras que sirven menos combustible del pagado

José Luis - 8 febrero, 2018

Un malware hacía que los surtidores, las cajas registradoras y los sistemas de back-end mostraran datos falsos. También borraba todas sus…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.