Triout - FrameWork de malware diseñado para android


Desde que el mundo es como lo conocemos, que existen personas que desean obtener la información de todo lo que le resulte interesante o espiar al resto sin que la víctima se de cuenta. Con el pasar de los años, que esto vino en aumento y ahora es pan de cada dia. Cada día los ciber-delincuentes buscan la manera de poder vulnerar y aprovecharse de otras personas, ya sea mediante engaños, o robos de información.

Los investigadores de Bitdefender han identificado un nuevo software espía para Android, denominado Triout, que parece actuar como un framework para crear amplias capacidades de vigilancia en aplicaciones aparentemente benignas. Incluida con una aplicación re-empaquetadora, las funciones de vigilancia del spyware incluyen ocultar su presencia en el dispositivo, grabar llamadas telefónicas, registrar mensajes de texto entrantes, recodificar videos, tomar fotografías y recopilar coordenadas GPS, y luego transmitir todo eso a un C & C controlado por atacante ( comando y control) servidor.

El malware es extremadamente sigiloso, ya que la versión re-empaquetada de la aplicación de Android mantuvo el aspecto y la sensación de la aplicación original y funciona exactamente igual; en este caso, el investigador analizó una aplicación para adultos llamada 'Sex Game' para engañar a sus víctimas.

Segun el investigador la aplicación tiene la capacidad de:


  • Registra cada llamada telefónica (literalmente, la conversación como un archivo multimedia), luego la envía junto con el identificador de llamadas al C & C (incall3.php y outcall3.php)
  • Registra cada mensaje SMS entrante (cuerpo de SMS y remitente de SMS) en C & C (script3.php)
  • Tiene la capacidad de esconderse
  • Puede enviar todos los registros de llamadas ("content: // call_log / calls", información: callname, callnum, calldate, calltype, callduration) a C & C (calllog.php)
  • Cada vez que el usuario toma una foto, ya sea con la cámara frontal o trasera, se envía al C & C (uppc.php, fi npic.php orreqpic.php)
  • Puede enviar coordenadas GPS a C & C (gps3.php)


Aunque los investigadores no pudieron encontrar cómo se distribuía esta versión re-empaquetada de la aplicación legítima y cuántas veces se instaló correctamente, creen que la aplicación maliciosa fue entregada a las víctimas por tiendas de aplicaciones de terceros o por otros dominios controlados por atacante. probablemente utilizado para alojar el malware.

IoC

SHA-1: 61ed377e85d386a8dfee6b864bd85b0bfaa5af81