Troyano ‘Pawost’ infecta teléfonos Android para realizar llamadas no autorizadas

Un malware para móvil descubierto recientemente está dando a los dispositivos Android una mente propia, haciendo que utilicen el servicio de mensajería Google Talk para realizar en secreto y en repetidas ocasiones llamadas salientes a números telefónicos misteriosos aproximadamente cada dos minutos.

De acuerdo con una entrada de blog de Malwarebytes Labs, el troyano, apodado Pawost, se observó hacer una serie de llamadas a números con código de área 259. de acuerdo con el analista de inteligencia de malware y autor del blog de Malwarebyes, Nathan Collier reconoció que la teoría predominante es que estos son números de teléfono de primera calidad establecidos por los estafadores que ganan dinero en cada llamada que reciben, legítima o no. “Especialmente en Android, siempre se inclinan hacia ‘que me va a generar dinero'”, Dijo Collier.

Por supuesto, eso también significa que las víctimas infectadas pueden acumular cargos masivos muy rápidamente.

Observado por primera vez el 24 de mayo, el malware se oculta dentro de una sencilla aplicación cronómetro de Android. Una vez descargada la aplicación, un icono en blanco Google Talk aparece en las notificaciones del dispositivo móvil, y las llamadas maliciosas comienzan poco después. Para ocultar su intención maliciosa de las víctimas,  Pawost deja los dispositivos Android en un wakelock parcial en el que se apaga la pantalla y luz del teclado, incluso mientras la CPU esta trabajando, permitiendo que las llamadas automatizadas continúen sin cesar hasta que la aplicación sea detenida forzosamente o desinstalada.

Collier, quien realizó el análisis del malware, determinó que el código de área 259 permanece sin asignar tanto en China, donde según los informes, se originó el malware, y en Estados Unidos.

Después de usar un emulador de Android para observar el comportamiento de Pawost, Collier marcó de nuevo varios de los números que el malware había intentado llamar. Al marcar los números con el código de país EE.UU. +1 resultado en números no válidos, pero utilizando el código de país chino +86 funcionó, generando una serie de señales de ocupado. Esto apoya la idea de que estos son los números de teléfono chinos, dirigidos a una base de usuarios chinos.

Collier sospecha que es probable que la aplicación cronómetro dudosa este siendo propagada a través de tiendas de aplicaciones de terceros no confiables, y señaló que “Hay ciertas regiones de China que no le permiten usar Google Play, por lo que los sitios de terceros son muy populares.”

Pawost también posee la capacidad de enviar y bloquear mensajes SMS, potencialmente con fines de fraude telefónico. Collier no observó activamente este comportamiento durante la investigación, pero estas capacidades podría ser fácilmente aprovechadas por sus creadores en futuros ataques de malware. El malware también recopila información de los dispositivos móviles y se comunica de nuevo a un servidor de comando y control. Los datos robados incluyen números telefónicos, aplicaciones instaladas y la IMSI (International Mobile Subscriber Identity) y su código IMEI (International Mobile Station Equipment Identity.

Las víctimas que utilizan su teléfonos mientras se esta realizando una llamada en secreto se darán cuenta rápidamente que algo está mal, dijo Collier, pero para entonces el daño podría ya estar hecho. Además, “Usted puedes darte cuenta, pero que no puede saber exactamente cómo detenerlo,” agregó Collier, a menos que puedas deducir que la aplicación cronómetro fue el origen de la infección y luego desinstalarla con éxito.

Leave a Reply