Troyanos JSDealer permiten acceder a nuevas características y APIS de forma directa

11 junio, 2019
19 Compartido 2,068 Visualizaciones

Este tipo de código dañino tiene unas características particulares, entre las que destaca la creación de una nueva capa de envoltura JavaScript para la aplicación, permitiéndole acceder a nuevas características y APIS de forma directa.

El CCN-CERT del Centro Criptológico Nacional ha publicado en la parte privada de su portal el Informe de Código Dañino CCN-CERT_ID-09-19_JSDealer. Este documento recoge el análisis de la familia de troyanos para dispositivos Android identificada como JSDealer, la cual se trata de una evolución del troyano SMSPremium. Este malware presenta unas características particulares, entre las que destaca la creación de una nueva capa de envoltura JavaScript para la aplicación, permitiéndole acceder a nuevas características y APIS de forma directa. Además, se suscribe a mensajes premium de forma automática y sin la autorización del usuario.

Como es habitual en este tipo de Informes, el CCN-CERT incluye las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características Técnicas
  • Ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección y desinfección
  • Información del atacante
  • Referencias
  • Reglas de detección

Algunas de las características más destacadas de este código dañino son que simula una aplicación de postales románticas, solicita acceso a los SMS y a la cámara, envía mensajes de texto SMS, extrae información del dispositivo y que contiene ofuscación del C&C.

Para detectar si un dispositivo está, o ha estado infectado para cualquiera de sus usuarios, se recomienda utilizar alguna de las herramientas de Mandiant como el «Mandiant IOC Finder» o el colector creado por RedLine con los indicadores de compromiso generados para su detección. Además, el documento incluye las reglas de detección e Indicadores de Compromiso (IoC) correspondientes.

De haber resultado infectado, el CCN-CERt aconseja la utilización de herramientas antivirus actualizadas, así como la desinstalación de la aplicación y la desactivación del servicio premium. En última instancia, es recomendable el formateo y la reinstalación completa del sistema operativo, incluyendo los dispositivos USB conectados (siguiendo lo indicado en las guías CCN-STIC correspondientes) de todos aquellos dispositivos en los que se haya detectado algún indicador de compromiso o encontrado algún archivo o clave de registro indicados.

Te podría interesar

Asda visibiliza la pérdida desconocida con la tecnología de Tyco Retail Solutions
Actualidad
23 compartido780 visualizaciones
Actualidad
23 compartido780 visualizaciones

Asda visibiliza la pérdida desconocida con la tecnología de Tyco Retail Solutions

Vicente Ramírez - 15 octubre, 2018

SMaaS proporciona a la cadena británica Asda inteligencia de datos en tiempo real basada en la nube. Tyco Retail Solutions…

Silence Trojan, el nuevo grupo de hackers rusos, a la caza de bancos
Actualidad
495 visualizaciones
Actualidad
495 visualizaciones

Silence Trojan, el nuevo grupo de hackers rusos, a la caza de bancos

José Luis - 9 febrero, 2018

Los analistas de Kaspersky Lab han identificado una nueva serie de ataques dirigidos contra al menos 10 entidades financieras en…

China acusada de secuestrar el tráfico de Internet usando BGP
Cases Studies
16 compartido2,363 visualizaciones
Cases Studies
16 compartido2,363 visualizaciones

China acusada de secuestrar el tráfico de Internet usando BGP

Mónica Gallego - 9 noviembre, 2018

China ha sido acusada de secuestrar el protocolo de puerta de enlace de frontera​ o BGP (del inglés Border Gateway…

Deje un comentario

Su email no será publicado