Dendroid, nueva herramienta DIY para los cibercriminales

0

Recientemente nos hemos enterado, de la aparición de una herramienta que facilita a los ciber-criminales la transformación de aplicaciones legítimas de Android en software malicioso. Ha llegado a los bajos “fondos” de la red, abonando el terreno para un mayor número de ataques distribuídos, junto con un menor coste para los delincuentes.

El kit de herramientas es denominado Dendroid y puede usarse para diseñar apps “troyanizadas” -apps legítimas a las que se les añade una parte de código malicioso- que después se conectarán con sus servidores de control, mediante HTTP, para permitir a los atacantes llavar a cabo diversas acciones subversivas en el sistema afectado.

Dendroid, nuevo conjunto de herramientas "hazlo tu mismo" para ciberdelincuentes

Características

Dendroid está ofertado, por sus creadores, como una RAT (Remote administration tool) y se vende por una media de 250 €, según han descubierto expertos de seguridad de Symantec. Los compradores recibirán una aplicación llamada “APK binder” que puede utilizarse para añadir la funcionalidad del RAT Dendroid y sus permisos requeridos, a cualquier app limpia existente (APK). También conseguirá acceso a un panel de control basado en PHP y bastante sofisticado, que permite una interacción con el sistema en profundidad.

Dendroid puede hacerse cargo de diversas tareas, como borrar logs (archivos de registro) y documentos. También puede realizar llamadas a números, abrir servicios de navegación de internet, lanzar aplicaciones y emitir un HTTP Flood (inundación de peticiones), en un período de tiempo específico, para atacar mediante DDoS a cualquier servidor web.

El malware como un servicio

Dendroid no es el primer RAT que conocemos, pero es quizá el más sofisticado que hemos encontrado hasta ahora.

Dendroid es una herramienta de acceso remoto muy avanzada, lanzada probablemente con propósitos comerciales“, afirma Bogdan Botezatu, analista senior en Bitdefender. “A pesar de que se basa casi enteramente en AndroRAT (una versión anterior de un RAT de Android) esta amenaza parece ser mucho más estable y permite al cibercriminal un mejor manejo de la cola de bots móviles”.

Otro aspecto interesante, es el hecho de que Dendroid está actualmente enfocado como un servicio: mientras el comprador obtiene el “constructor de bots”, el panel de control es almecenado y ofrecido por el equipo que está detras de la aplicación, oculto tras servidores privados virtuales. Según comenta Botezatu, la aparición de este tipo de kits de herramientas “hazlo tu mismo” para Android, pone de manifiesto que la plataforma ha ido evolucionando tras los pasos de Windows, en lo que al malware se refiere.

En la plataforma de PC, otras herramientas crimeware como Zeus (Trojan.Zbot) y SpyEye (Trojan.Spyeye) empezaron de forma similar, para crecer rápidamente en popularidad, debido a su facilidad de uso , además de la inmediata implicación en muchos ataques satisfactorios y conocidos“, se dice desde Symantec.

Según concluye Botezatu “El cibercrimen se basa en conseguir el máximo dinero con el mínimo esfuerzo” (habitualmente, debemos puntualizar). Eso es lo que obtienen los criminales con este tipo de kits, ya que son estables y no precisan de un extensivo conocimiento previo de la plataforma.

Distribución camuflada

Aunque Google ha mejorado mucho en la selección y filtrado de las aplicaciones de su tienda, haciendo más difícil la aparición de malware, sigue habiendo técnicas que lo permiten. Estas requieren que los criminales sean capaces de llevar al usuario a su terreno, convenciéndole para que instale o navegue a zonas peligrosas.

Una de las técnicas más conocidas es la de distribuir las apps maliciosas mediante tiendas de terceros, en mercados donde tienen gran popularidad, como China y Rusia, utilizando el malware de Windows para inyectar mensajes en las sesiones de navegación web, para de esta forma pretender asociar estas aplicaciones manipuladas con otras de confianza, como apps de banca online. Incluso, se ha comprobado como se venden teléfonos y tablets manipulados ya en su entorno de fabricación, para realizar espionaje.

Recientemente, una empresa dedicada a investigar y prevenir ataques –Marble Security– descubrió una app maliciosa y falsa, que se hacía pasar por la aplicación Netflix para Android. Esta app venía pre-instalada ya de fábrica, en diversos terminales procedentes de Samsung, Motorola y LG. La empresa cree que la aplicaicón debió ser instalada en alguna zona de la cadena de montaje o distribución de los aparatos.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR