Kaspersky Lab descubre nuevo malware para mviles Android e

iOS; mapea los servidores de comando y control de HackingTeam

Kaspersky Lab descubre nuevo
malware para mviles Android e iOS;
mapea los servidores de comando y
control de HackingTeam
Sunrise, 24 de junio de 2014
Hoy, Kaspersky Lab public un nuevo informe de investigacin en donde mapea una infraestructura
internacional masiva utilizada para controlar implantes de malware "Remote Control System" (RCS), e
identific Troyanos para mviles que no haban sido descubiertos y que trabajan tanto en Android
como en iOS. Estos mdulos son parte de la llamada herramienta de spyware 'legal', RCS, tambin
conocida como Galileo, desarrollada por la empresa italiana Hacking Team.

La lista de vctimas indicada en la nueva investigacin, llevada a cabo por Kaspersky Lab en conjunto
con su socio Citizen Lab, incluye activistas y defensores de los derechos humanos, as como
periodistas y polticos.

Infraestructura del RCS
Kaspersky Lab ha estado trabajando en diferentes frentes para localizar los servidores de comando y
control (C&C) de Galileo en todo el mundo. Para el proceso de identificacin, los expertos de
Kaspersky Lab se basaron en indicadores especiales y en datos de conectividad por ingeniera
inversa de las muestras existentes.

Durante el anlisis ms reciente, los investigadores de Kaspersky Lab pudieron mapear la presencia
de ms de 320 servidores RCS, C&C en ms de 40 pases. La mayora de los servidores estaban
instalados en los Estados Unidos, Kazajstn, Ecuador, Reino Unido y Canad.

Al hacer comentarios con relacin a los ltimos descubrimientos, Sergey Golavanov, Investigador
Principal de Seguridad en Kaspersky Lab, dijo: "La presencia de estos servidores en un pas dado no
quiere decir que son utilizados por los organismos encargados de hacer cumplir la ley de ese pas en
particular. Sin embargo, s hace sentido que los usuarios del RCS implementen C&Cs en ubicaciones
que ellos controlan - en donde haya riesgos mnimos de cuestiones jurdicas transfronterizas o
embargos de servidores".

Implantes para mviles del RCS
A pesar de que en el pasado se saba que existan Troyanos para mviles de Hacking Team para iOS
y Android, nadie en realidad los haba identificado antes - o haba notado que se usaran en ataques.
Los expertos de Kaspersky Lab han estado investigando el malware de RCS durante dos aos. A
Kaspersky Lab descubre nuevo malware para mviles Android e
iOS; mapea los servidores de comando y control de HackingTeam

principios de este ao pudieron identificar algunas muestras de mdulos mviles que correspondan
con otros perfiles de configuracin del malware de RCS en su coleccin. Durante la reciente
investigacin, tambin se recibieron de las vctimas nuevas variantes de muestras a travs de la red
KSN basada en la nube de Kaspersky Lab. Adems, los expertos de la compaa trabajaron
estrechamente con Morgan Marquis-Boire de Citizen Lab, quien ha estado investigando el conjunto
de malware de HackingTeam ampliamente.

Vectores de infeccin: Los operadores de Galileo RCS construyeron un implante malicioso
especfico para cada objetivo concreto. Una vez que la muestra est lista, el atacante la enva al
dispositivo mvil de la vctima. Algunos de los vectores de infeccin conocidos incluyen
"spearphishing" mediante ingeniera social - a menudo en conjunto con "exploits", incluyendo das-
cero; e infecciones locales a travs de cables USB mientras se sincronizan los dispositivos mviles.

Uno de los descubrimientos ms importantes ha sido aprender precisamente cmo un Troyano para
mvil de Galileo infecta un iPhone: para ello, se requiere hacerle "jailbreak" al dispositivo. No
obstante, iPhones sin jailbreak pueden volverse vulnerables tambin: un atacante puede ejecutar una
herramienta de jailbreak como 'Evasi0n' a travs de una computadora previamente infectada y
realizar un jailbreak remoto, seguido de la infeccin. Para evitar riesgos de infeccin, los expertos de
Kaspersky Lab recomiendan que ante todo, no suprima las limitaciones impuestas a travs de un
jailbreak en su iPhone, y tambin que constantemente actualice a la ltima versin del iOS en su
dispositivo.

Espionaje personalizado: Los mdulos mviles del RCS estn meticulosamente diseados para
funcionar de manera discreta, por ejemplo, prestando especial atencin a la duracin de la batera de
los dispositivos mviles. Esto se lleva a cabo a travs de capacidades de espionaje cuidadosamente
personalizadas, o disparadores especiales: por ejemplo, una grabacin de audio puede iniciar slo
cuando la vctima est conectada a una red Wi-Fi concreta (por ejemplo, la red de una empresa de
medios), o cuando la vctima cambie la tarjeta SIM, o mientras el dispositivo se est cargando.

En general, los Troyanos para mviles de RCS son capaces de realizar muchos tipos diferentes de
funciones de vigilancia, incluyendo el reporte de la ubicacin del objetivo, tomar fotografas, copiar
eventos del calendario, registrar nuevas tarjetas SIM que se inserten en el dispositivo infectado, e
interceptar llamadas telefnicas y mensajes; estos incluyen mensajes que se envan desde
aplicaciones especficas tales como Viber, WhatsApp y Skype, adems de los textos SMS normales.

Deteccin: Los productos Kaspersky Lab detectan las herramientas de spyware RCS/DaVinci/Galileo
como: Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin,
Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut,
Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent,
Trojan-Spy.AndroidOS.Mekir and Backdoor.AndroidOS.Criag.

Para obtener ms informacin, lea nuestro blog en Securelist.com.


Acerca de Kaspersky Lab

Kaspersky Lab es el proveedor privado ms grande del mundo de soluciones de proteccin para
endpoints. La compaa est clasificada entre los cuatro principales proveedores de soluciones de
seguridad para los usuarios de endpoints*. Durante sus ya ms de 16 aos de historia, Kaspersky
Lab contina siendo una compaa innovadora en la seguridad informtica y ofrece soluciones
Kaspersky Lab descubre nuevo malware para mviles Android e
iOS; mapea los servidores de comando y control de HackingTeam

efectivas en seguridad digital para las grandes compaas, pequeas y medianas empresas y
consumidores. Kaspersky Lab, a travs de su compaa de holding registrada en el Reino Unido,
opera actualmente en casi 200 pases y territorios en todo el mundo, ofreciendo proteccin para ms
de 300 millones de usuarios a nivel global. Para obtener mayor informacin, visite
http://latam.kaspersky.com.
*La compaa logr el cuarto lugar en la clasificacin IDC de los Ingresos por Seguridad de Endpoints en el Mundo por
Proveedor, 2012. La clasificacin fue publicada en el reporte IDC del "Pronstico Mundial de Endpoint Security 2013-2017 y
Acciones de Proveedores 2012" - (IDC #242618, agosto de 2013). El reporte calific a los proveedores de software segn sus
ganancias por las ventas de soluciones de seguridad de endpoint en 2012.