Estaba leyendo mis rss para actualizarme un poco tras las vacaciones de Navidad.
Me ha resultado curiosa una publicación que ha sido comentada ya en otros sites y que después he ido a leer al sitio oficial, lookout Mobile Security Blog, el 'antivirus gratuito para smartphones' (www.mylookout.com).
Al parecer han detectado un nuevo troyano que afectan a los dispositivos Android, y que ha aparecido recientemente en China. Al troyano lo han bautizado como "Geinimi".
Según lookout, este troyano puede comprometer una cantidad significativa de datos personales en el teléfono de un usuario y enviarla a servidores remotos. Lookout dice que es el malware más sofisticado que han visto hasta la fecha, y que Geinimi es también el primer malware para Android que se muestra con capacidades de estar creando una botnet, el teléfono con Android podrá ser controlado por manos ajenas.
Lookout dice que Geinimi está apareciendo en sobre todo juegos, y que se distribuye en terceros mercados, como en la App Store de Android de China. También dicen que aunque la intención de este troyano no está del todo clara, pero remarcan la intención maliciosa de intento de crear una botnet Android.
Y claro, Lookput ya ha emitido una actualización para los usuarios de Android que los protege contra casos conocidos de este troyano. Por tanto, si ya eres usuario de Lookout (gratuito o de pago), estás protegido. xD
Según Lookout, el troyano Geinimi se ejecuta en segundo plano y obtiene información importante que puede comprometer la privacidad del usuario. La información específica que recoge incluye coordenadas de localización e identificadores únicos para el dispositivo (IMEI) y la tarjeta SIM (IMSI). A intervalos de cinco minutos, Geinimi intenta conectarse a un servidor remoto utilizando uno de los diez nombres de dominio C&C. Un subconjunto de los nombres de dominio incluye www.widifu.com, www.udaore.com, www.frijd.com, www.islpast.com y www.piajesj.com. Si se conecta, Geinimi transmite la información recogida del dispositivo al servidor remoto. Y aunque Lookout ha visto a Geinimi comunicarse con un servidor y transmitir los datos del dispositivo, aún tienen que observar un servidor de control en pleno funcionamiento con el envío de comandos nuevos de este troyano. Así que su análisis de código Geinimi sigue en curso, pero ya tienen evidencia de las siguientes capacidades:
Enviar las coordenadas (ubicación fino)
Enviar identificadores de dispositivo (IMEI y IMSI)
Descargue e incitar al usuario a instalar una aplicación
Preguntar al usuario para desinstalar una aplicación
Enumerar y enviar una lista de aplicaciones instaladas en el servidor
Mientras Geinimi remotamente puede iniciar una aplicación para ser descargado o desinstalar en un teléfono, el usuario todavía tiene que confirmar la instalación o desinstalación.
¿A quiénes afecta?
En la actualidad, Lookout dice que sólo tienen evidencia de que Geinimi se distribuye a través de tiendas de aplicaciones de otros fabricantes chinos. Para descargar una aplicación desde una tienda de aplicaciones de terceros, los usuarios de Android tendrían que tener activadas la instalación de aplicaciones de "procedencia desconocida". Alertan de que Geinimi podría ser empaquetado en aplicaciones para teléfonos Android en otras regiones geográficas, pero que NO han visto ninguna aplicación en peligro por el troyano Geinimi en el site oficial de Google Android Market.
Por lo visto puede estar en varias aplicaciones, normalmente juegos. La gente del 'antivirus' Lookout ha encontrado el Troyano Geinimi en la siguientes aplicaciones de 'app stores de China': Monkey Jump 2, Sex Positions, President vs. Aliens, City Defense y Baseball Superstars 2010.
Para permanecer seguro, aconsejan sólo descargar aplicaciones de fuentes de App Stores de confianza. Hay que recordar ver y comprobar el nombre de desarrollador, las revisiones y la puntuación de estrellas.
Siempre hay que revisar los permisos que usará la aplicación. Pero hay que usar el sentido común para, al menos, asegurarse que los permisos de una aplicación coinciden con las características de la aplicación proporciona.
Tras una instalación de una nueva app, hay que tener en cuenta el comportamiento inusual en el teléfono, ya que podría ser una señal de que el teléfono está infectado.
La verdad es que me resulta curiosa esta comunicación de Lookout, justo cuando otros antivirus y aplicaciones de seguridad, como por ejemplo AVG (http://www.avg.com/us-en/antivirus-for-android) que además también es gratuita, están comenzando a ganar cuota de mercado, y se confía más en ella porque su historia y experiencia en el sector, aunque hay más.
En google, alrededor de esta noticia, se pueden leer otros enlaces, incluso ver publicidad AdSense asociada que nos lleva a web y servicios para monitorizar y tener controlado a los empleados de una empresa, como puede ser www.spector360.com, que seguramente no tendrá nada que ver, pero que nos va haciendo pensar cosas. ¿:-/
Que cada uno juzgue y piense lo que considere. Lo que está claro, es que esto va a ocurrir cada vez más.
1 comentario:
Al parecer, MyLookout, empresa de seguridad y antivirus, ya ha publicado un primer análisis del troyano Geinimi para Android.
Leer Analisis de Geinimi realizado por MyLookout en formato PDF.
Lo acabo de leer en un post de Cristian, de la Redacción de Segu-Info, que publicó el lunes en el blog de segu-info
Publicar un comentario