Llegamos a ustedes gracias a:



Alertas de Seguridad

Investigadores encuentran RAT interplataforma

Para Windows y Android

[24/03/2014] Se ha hallado una herramienta de acceso remoto (remote access tool – RAT) usada para comandar una PC con Windows que también incluye un componente de Android, lo cual es un indicativo de que los hackers están buscando RAT interplataformas para PC y dispositivos móviles, afirma un investigador.
El archivo APK (Android application package) fue encontrado en la RAT WinSpy que se vende en la web. Tales herramientas son legales, pero generalmente son utilizadas en el malware.
FireEye encontró la WinSpy en un correo electrónico enviado a una institución financiera estadounidense durante un ataque spear-phishing. Al examinar la aplicación, FireEye encontró que también contenía el APK.
Los autores probablemente hayan hecho que la aplicación sea interplataforma debido a la creciente demanda entre los atacantes de RAT para Android, indicó Nart Villeneuve, investigador senior de inteligencia de amenazas de FireEye. Otras RAT recientemente descubiertas han sido creadas exclusivamente para Android. Como ejemplos de ellas se tienen a Dendroid, AndroRAT y GimmeRAT.
Lo que es interesante es ver una funcionalidad de Android incorporada en una RAT para Windows normal, sostuvo Villeneuve. Creo que esta es una tendencia que vamos a ver cada vez más: La demanda de RAT interplataformas.
La RAT Android WinSpy es difícil de colocar en el dispositivo. El usuario debió haber sido engañado para instalarla, ya sea a través de un sitio web o como adjunto de correo electrónico.
Una vez en el dispositivo, el atacante puede usar la aplicación para obtener capturas de pantalla y rastrear la localización del teléfono a través del GPS.
La versión para Windows de WinSpy se comporta más como una RAT completa, las cuales usualmente son utilizadas por los administradores de sistemas o el personal de soporte para realizar diagnósticos u otras tareas en una PC remota. Tales RAT pueden subir y descargar archivos, obtener capturas de pantalla del escritorio y tomar fotos con la webcam de la computadora.
Aunque legales, las RAT generalmente son marketeadas de forma tal que atraen a los hackers. Por ejemplo, en el sitio de WinSpy el autor publicita que el software es completamente indetectable, lo cual significa que puede evadir los motores antivirus, sostuvo Villeneuve.
Es una situación un poco resbaladiza, afirmó.
Un atacante que usa WinSpy puede acceder a toda la información capturada de las PC y dispositivos Android comprometidos a través de los servidores del autor del software. La aplicación también viene con una interfase de usuario para administrar todos los dispositivos que corren WinSpy.
No queda claro por qué un atacante usaría los servidores de WinSpy y no los suyos.
Podría ser que son un poco ingenuos al no entender cómo funciona la herramienta, sostuvo Villeneuve. O, podrían entender exactamente cómo funciona la herramienta y gustarles el hecho de que pueden protegerse a sí mismos escondiéndose detrás de las personas que corren WinSpy.
La propia WinSpy no implica un serio peligro, ya que está considerada como malware por los antivirus. A lo que los CSO deberían prestar atención es al continuo interés de los atacantes en Android.
Ellos (los atacantes) van a desarrollar nuevas herramientas y formas nuevas de obtener acceso a los dispositivos Android, indicó Villeneuve.
Antone Gonsalves, CSO (EE.UU.)