elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  "Geinimi" troyano para Android con capacidad para recibir órdenes
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: "Geinimi" troyano para Android con capacidad para recibir órdenes  (Leído 969 veces)
wolfbcn
Moderador Global
***
Desconectado Desconectado

Mensajes: 53.668



Ver Perfil WWW
"Geinimi" troyano para Android con capacidad para recibir órdenes
« en: 3 Enero 2011, 13:32 »

Recientemente se ha observado un nuevo ejemplar de Troyano para la plataforma móvil Android con ciertas características similares a las encontradas en el malware asociado a botnets.

El primer avistamiento fue efectuado por la empresa china de seguridad NetQin. A principios de diciembre ya se publicó una noticia en CNETNews China sobre este malware alertando de su existencia.

El ejemplar, estudiado por investigadores de la empresa LookOut, es más sofisticado de lo habitual ya que permite una vez instalado en el dispositivo de la víctima recibir comandos desde un servidor remoto de control.

El resto de características presenta los puntos comunes y esperables en este tipo de malware: El troyano va insertado en aplicaciones reempaquetadas y que presentan un aspecto "sano", descargables desde páginas chinas de aplicaciones para Android.

De hecho, el ejemplar, en principio solo afecta al público chino. Tras la instalación y la solicitud al usuario de los permisos y excepciones de seguridad, el ejemplar se dedica a recabar datos sobre el terminal como el IMEI, el IMSI (número de identificación de la SIM) o la geolocalización del usuario entre otros. También reseñar que el troyano puede desinstalar e instalar aplicaciones, aunque para ello necesite el permiso del usuario.

Geinimi viene con una lista de unos diez dominios preconfigurados a los que interroga cada 5 minutos. Si uno de ellos responde el troyano envía los datos capturados al servidor.

El bytecode de Geinimi está ofuscado y partes de la comunicación entre el troyano y el servidor de control se envían y reciben cifradas como medio de defensa frente a análisis.

El antivirus de Microsoft ha sido de los primeros (y únicos) en detectar este malware por firma:
http://www.virustotal.com/file-scan/report.html?id=e464c07435efab5ff471c148789c7ddff12f2d530f69b0eab731e7c9416cd673-1293778805


 Más información


Security Alert: Geinimi, Sophisticated New Android Trojan Found in Wild
http://blog.mylookout.com/2010/12/geinimi_trojan/

David García
 dgarcia@hispasec.com


FUENTE :http://www.hispasec.com/unaaldia/4452


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines