Los expertos de Symantec han descubierto un nuevo troyano que intenta instalar malware bancario vía móvil en dispositivos Android, cuando éstos se conectan a ordenadores previamente infectados. Se trata de un método de intoxicación inusual, ya que los piratas que asaltan dispositivos Android suelen preferir técnicas de ingeniería social y apps falsas alojadas en tiendas de terceros.

Con anterioridad, se había visto un tipo de malware Android que intenta infecta sistemas Windows, ha explicado Fauna Liu, investigadora de la citada firma de seguridad. Por ejemplo, el denominado Android.Claco descarga un archivo ejecutable portátil (PE) infectado, junto a un archivo autorun.info, y los aloja en el directorio raíz de la tarjeta SD. Cuando el dispositivo se conecta a un ordenador en modo USB, y si la función AutoRun está autorizada en el ordenador, Windows ejecuta automáticamente el archivo PE infectado, explica Symantec. "Curiosamente, hace poco, encontramos también algo que funcionaba a la inversa, un amenaza Windows que intentaba infectar dispositivos Android", señala Liu.

 El nuevo malware, denominado por Symantec como Trojan.Droidpak, libera un archivo DLL en el equipo Windows y registra un nuevo servicio del sistema, que garantiza su permanencia en posteriores arranques del ordenador. A continuación, descarga un archivo de configuración desde un servidor remoto, que contiene la ubicación de un archivo APK pirata (éstas son las siglas de paquete de aplicaciones Android), denominado AV-cdk.apk.

 El troyano descarga el APK infectado, así como la herramienta de línea de comandos, Android Debug Bridge (ADB), que permite al usuario ejecutar comandos en los dispositivos Android conectados a un PC. ADB es parte del kit de desarrollo de software oficial de Android (SDK).

 Sin embargo, el ataque tiene limitaciones, ya que solo funciona si está habilitada en el dispositivo una función llamada "Debugging USB" (depuración USB) que es muy empleada por los desarrolladores de Android, pero que solo se requiere para algunas operaciones no directamente relacionadas con el desarrollo, como la creación de la ruta del sistema operativo, la toma de capturas de pantalla de los dispositivos que corren versiones antiguas de Android o la instalación personal de firmware Android.
 Aunque esta funcionalidad se utiliza muy poco, los usuarios que la activen una sola vez, para realizar una tarea concreta, pueden olvidar deshabilitarla cuando ya no la necesiten.

 El malware parece dirigirse a usuarios de banca online de Corea del Sur. En concreto, busca aplicaciones financieras online en el dispositivo infectado y, si las encuentra, solicita al usuario que las borre e instale versiones infectadas, detalla Liu. Además intercepta mensajes SMS recibidos por el usuario y los envía a un servidor remoto.

 El perfil del ataque sugiere un intento de fraude bancario. E incluso, aunque se circunscriba a un solo país, los códigos pirata toman ideas de otros ataques y replican métodos de ataque que han tenido éxito.

 La mencionada experta recomienda a los usuarios desconectar la función de depuración USB en sus móviles Android, cuando no sea necesaria, y tener cuidado de no conectar los móviles a ordenadores que no sean seguros.

http://www.pcworld.es/seguridad/detectado-malware-windows-que-intenta-infectar-dispositivos-android