GPlayed

La empresa Cisco Talos ha identificado un nuevo malware bautizado como: “Gplayed” que puede afectar dispositivos Android.

De acuerdo con el reporte, Gplayed pertenece a la familia de los Troyanos y según mencionan los investigadores, es extremadamente flexible y se oculta bajo un ícono muy similar a Google Apps, con la etiqueta “Google Play Marketplace” para disfrazarse, como podemos ver en la imagen de arriba.

Un Troyano que se adapta a cualquier plataforma

Para este equipo de investigadores de seguridad, lo que hace que este malware sea “extremadamente poderoso” es la capacidad de adaptarse luego de su implementación, ya que, el operador puede cargar complementos, inyectar scripts e incluso compilar el nuevo código .NET que se puede ejecutar en cualquier plataforma.

¿Cómo funciona?

Según explican Cisco Talos en su blog, una vez que el malware se encuentra en el dispositivo Android, GPlayed inicia diferentes temporizadores, para hacer ping (llamada-solicitud) al servidor de comando y control (C2), habilitar WiFi si está apagado y registrar el dispositivo en el servidor C2.

Inicialmente, GPlayed comienza enviando información del equipo al servidor del atacante, como: modelo, el IMEI, país o versión de Android en ejecución.

Gplayed, Arquitectura y Capacidades

Cisco Talos dice que este malware está desarrollado en el framework .NET y utiliza Xamarin como entorno de desarrollo para aplicaciones móviles.

Además, utiliza una DLL llamada “eCommon” que “contiene códigos de soporte y estructuras que son independientes de la plataforma” y una DLL principal llamada “Reznov.DLL” que contiene una clase raíz llamada “eClient”, donde se encuentra el núcleo del troyano.

GPlayed declara numerosos permisos en el manifiesto, donde resalta BIND_DEVICE_ADMIN, el cual proporciona un control casi completo del dispositivo al malware y está altamente evolucionado en su diseño.

Como dato curioso, este troyano permite agregar nuevos complementos en tiempo de ejecución, como un paquete como recursolo que significa que los autores u operadores pueden agregar nuevas capacidades sin tener que volver a compilar y actualizar el paquete troyano en el dispositivo.

Una amenaza grave

Este Troyano tiene la capacidad de obtener credenciales bancarias del usuario, hasta monitorear la ubicación del dispositivo y mover el código de los escritorios a las plataformas móviles sin esfuerzo, ya que, el diseño e implementación de GPlayed es de un nivel extraordinariamente alto.

Además de las funciones habituales para robar mensajes, contactos, realizar llamadas y enviar SMS, el troyano también puede mostrar mensajes USSD, iniciar aplicaciones, borrar el dispositivo, agregar y eliminar inyecciones web, recopilar información de tarjetas de pago y establecer una nueva contraseña de bloqueo.

Este es un troyano de pleno derecho con capacidades que van desde un troyano bancario a un troyano de espionaje. Esto significa que el malware puede hacer cualquier cosa, desde recoger las credenciales bancarias del usuario hasta monitorear la ubicación del dispositivo

Según los analistas de Talos, GPlayed es un prototipo que se encuentra en sus últimas etapas de desarrollo, pero, tiene el potencial de convertirse en una amenaza más grave, dada su capacidad de mover código de ordenadores a plataformas móviles sin ninguna complicación, lo que demuestra la posibilidad de diseñar amenazas híbridas con pocos recursos y de forma rápida.

Más en TekCrispy