Saltar al contenido

cajino, el malware que controla remotamente Android (RAT)

3 enero, 2023

Nuevos riesgos para la seguridad informática en el entorno Android: algunas aplicaciones maliciosas, difundidas tanto en la tienda oficial como en las «alternativas», son de hecho capaces de tomar el control del sistema operativo para robar archivos en el teléfono de la víctima. El problema fue puesto de relieve por Lukas Stefanko, de ESET, quien destacó las características de una nueva herramienta RAT (Remote Administration Tool) para Android.

Utilizando Baidu Cloud Push (la herramienta en la nube para sincronizar los archivos del usuario), el malware es capaz de enviar comandos arbitrarios al teléfono de la víctima y, como ya ha ocurrido en otras circunstancias, también está disponible a través de APKs descargados de la tienda oficial Google Play. Los RATs, les recuerdo brevemente, son software malicioso capaz de controlar remotamente nuestro teléfono o tableta Android, por ejemplo accediendo a la webcam, consultando la agenda de contactos, difundiendo datos privados, etcétera; no es la primera vez que se registra un caso así en el entorno Android.

A pesar de que el principal canal de distribución era un sitio de distribución de APK no oficial (el nombre de dominio variaba en función del caso: zhengcaiai, devzhemin520, su weiyu,devzhemin), la herramienta RAT fue capaz de burlar los controles de Google Play, permaneciendo disponible -según Stefanko- en la app kmusic (actualmente dada de baja de la tienda, probablemente de origen norcoreano) ya descargada al menos 50.000 veces. El origen de la infección se remonta a noviembre de 2014, por lo que ha tenido tiempo de sobra para propagarse sin ser molestada en diversos dispositivos (fuente: ElevenPath Blog).

cajino, este es el nombre del malware que contiene la herramienta RAT, es capaz de enviar información confidencial a un almacenamiento en la nube perteneciente a la parte maliciosa (exfiltración), datos que luego son eliminados secretamente del dispositivo original (es posible que el usuario sea contactado más tarde, y se le pida un rescate para recuperar sus archivos). No todos los antivirus son capaces de detectarlo, ya que la técnica de exfiltración es prácticamente nueva, mientras que ESET y Avira -aparentemente- sí son capaces de hacerlo en su actualización más reciente: máxima atención, por tanto, a las apps que instalas en tu teléfono o tableta Android.

Las notificaciones push en la nube de Baidu , utilizadas legítimamente por varias aplicaciones de Android y ya explotadas en el pasado para forzar la entrada de publicidad en los dispositivos de los usuarios- se encuentran junto a las técnicas más utilizadas para transmitir comandos remotos, como SMS, HTTP, jabber y GCM.

Configuración