Troyanos JSDealer permiten acceder a nuevas características y APIS de forma directa

11 junio, 2019
19 Compartido 2,494 Visualizaciones

Este tipo de código dañino tiene unas características particulares, entre las que destaca la creación de una nueva capa de envoltura JavaScript para la aplicación, permitiéndole acceder a nuevas características y APIS de forma directa.

El CCN-CERT del Centro Criptológico Nacional ha publicado en la parte privada de su portal el Informe de Código Dañino CCN-CERT_ID-09-19_JSDealer. Este documento recoge el análisis de la familia de troyanos para dispositivos Android identificada como JSDealer, la cual se trata de una evolución del troyano SMSPremium. Este malware presenta unas características particulares, entre las que destaca la creación de una nueva capa de envoltura JavaScript para la aplicación, permitiéndole acceder a nuevas características y APIS de forma directa. Además, se suscribe a mensajes premium de forma automática y sin la autorización del usuario.

Como es habitual en este tipo de Informes, el CCN-CERT incluye las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características Técnicas
  • Ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección y desinfección
  • Información del atacante
  • Referencias
  • Reglas de detección

Algunas de las características más destacadas de este código dañino son que simula una aplicación de postales románticas, solicita acceso a los SMS y a la cámara, envía mensajes de texto SMS, extrae información del dispositivo y que contiene ofuscación del C&C.

Para detectar si un dispositivo está, o ha estado infectado para cualquiera de sus usuarios, se recomienda utilizar alguna de las herramientas de Mandiant como el «Mandiant IOC Finder» o el colector creado por RedLine con los indicadores de compromiso generados para su detección. Además, el documento incluye las reglas de detección e Indicadores de Compromiso (IoC) correspondientes.

De haber resultado infectado, el CCN-CERt aconseja la utilización de herramientas antivirus actualizadas, así como la desinstalación de la aplicación y la desactivación del servicio premium. En última instancia, es recomendable el formateo y la reinstalación completa del sistema operativo, incluyendo los dispositivos USB conectados (siguiendo lo indicado en las guías CCN-STIC correspondientes) de todos aquellos dispositivos en los que se haya detectado algún indicador de compromiso o encontrado algún archivo o clave de registro indicados.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Las plataformas de nube pública sin DDI no son sumergibles
Cloud
19 compartido2,715 visualizaciones
Cloud
19 compartido2,715 visualizaciones

Las plataformas de nube pública sin DDI no son sumergibles

Mónica Gallego - 24 mayo, 2019

Migrar a infraestructuras híbridas y confiar en la nube pública es la opción cada vez más habitual de las empresas…

Asegurada la máxima protección de las organizaciones con la nueva versión de Endpoint Antivirus para Linux
Actualidad
5 compartido730 visualizaciones
Actualidad
5 compartido730 visualizaciones

Asegurada la máxima protección de las organizaciones con la nueva versión de Endpoint Antivirus para Linux

Alicia Burrueco - 23 marzo, 2020

ESET ha anunciado la disponibilidad de la última versión de ESET Endpoint Antivirus para Linux De esta manera asegura que…

Cyberpedia: ¿Qué son los Deepfake?  La polémica de Zao, la app china de rostros «DeepFake»
Actualidad
19 compartido3,509 visualizaciones
Actualidad
19 compartido3,509 visualizaciones

Cyberpedia: ¿Qué son los Deepfake? La polémica de Zao, la app china de rostros «DeepFake»

Vicente Ramírez - 10 septiembre, 2019

Cada vez aparecen más aplicaciones basadas en esta técnica que se viralizan muy rápidamente y que supone un riesgo para…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.