RedDrop, un nuevo malware de Android que graba el ambiente y exfiltra data de usuarios.

RedDrop, es un malware que fue recientemente descubierto, esta amenaza puede rebar data desde dispositivos infectados y también grabar el sonido ambiente.


Investigadores de seguridad de Wandera han publicado una nueva y sofisticada familia de malware apodada RedDrop, que puede robar datos, grabar audio e interceptar SMS. Toda la data robada desde los dispositivos infectados, es subida a sistemas de almacenamiento en la nube.

El código malicioso fue descubierto en docenas de aplicaciones aparentemente inocuas, aunque los investigadores descubrieron a RedDrop dentro de 53 aplicaciones de Android, incluyendo, editores de imagenes, calculadoras, etc..

" la última amenaza de día cero ha sido descubierta por Wandera, es Red Drop, una familia de malware para móviles, el cual a impactado financieramente añadiendo pérdida de datos críticos en los dispositivos infectados" se puede leer en el análisis publicado por Wandera.

La funcionalidad Maliciosa.


RedDrio es altamente destructivo debido a lo sofisticado de su distribución en la red y la potente funcionalidad híbrida que ofrece múltiples acciones maliciosas en un solo paquete. Este APKs contiene las siguientes funcionalidades:

Troyano.

Cuando la aplicación RedDrop se descomprime, se encuentra que contienen muchos archivos maliciosos embebidos, los cuales están compilados en orden de iniciar una funcionalidad maliciosa. Estos archivos están ubicados en el directorio activo de la aplicación como se muestra a continuación.



A goteo..

Inmediatamente después de la instalación, el malware descarga componentes adicionales (Apk y archivos JAR) desde diferentes servidores de comando, almacenandose dinámicamente dentro de la memoria del dispositivo. Esta técnica permite al atacante, ejecutar APK maliciosas adicionalmente, sin tener que embeberlos directamente en el ejemplo inicial.

Optimizando componentes maliciosos para su ejecución

Cargando APK descargadas

Fraude en SMS y Spyware

Las aplicaciones dentro de la familia RedDrop proporcionan una funcionalidad clara para el usuario, lo que requiere que la víctima interactúe con su dispositivo móvil. En una de esas muestras, cada vez que se toca la pantalla dentro de la aplicación, el usuario está enviando involuntariamente un mensaje SMS a un servicio premium que incurre en cargos sustanciales. Fundamentalmente, el malware puede eliminar estos mensajes casi al instante, lo que significa que la evidencia de estos SMS premium se destruye.

Servicio de pago por método de SMS
Quizás el aspecto más perverso de la familia de malware de RedDrop es su invasivo conjunto de herramientas de spyware. En primer lugar, la aplicación maliciosa está espiando para identificar cuándo está presente el usuario para iniciar el resto de la funcionalidad maliciosa. Luego, la aplicación registra y ex filtra datos a una variedad de servidores y servicios de almacenamiento en la nube.


Fuente:https://www.wandera.com/blog/reddrop-malware/