Desde la primera aparición de un código malicioso para Android, a mediados del año pasado, hemos sido testigos de una constante evolución en lo que refiere a las técnicas y metodologías utilizadas por los desarrolladores de malware. Hoy vamos a compartir con ustedes una amenaza conocida como AnserverBot, que incorpora una serie de funcionalidades de alta complejidad, con el objetivo de convertir el dispositivo en parte de una botnet.

Esta amenaza se propaga a través de repositorios de aplicaciones alternativos al Android Market en China, inyectado dentro de otras aplicaciones y fue reportada por Xuxian Jiang. Este código malicioso cuenta con una serie de capacidades como la carga dinámica de código, ofuscación de código, cifrado de datos, auto verificación de firmas, como así también, la posibilidad de detectar y eliminar ciertas herramientas de seguridad para dispositivos móviles.

El objetivo de inyectar código dentro de otras aplicaciones es para realizar la instalación de dos aplicaciones escondidas en el directorio de recursos, alojado en la carpeta “assets/“. Dentro de esta carpeta se pueden observar los archivos anservera.db y anserverb.db. Ambos archivos suponen ser una base de datos, pero en realidad se trata de dos aplicaciones maliciosas. Si se abren estos archivos como si se tratara de un archivo comprimido podemos observar que tiene la misma estructura que un APK (Android application package file, en español, Archivo de aplicación para Android):

Ver más… »

Categories: Análisis de malware
1 Comment »