www.zonamovilidad.es
Un malware oculto en una aplicación para recordar cumpleaños
Ampliar

Un malware oculto en una aplicación para recordar cumpleaños

viernes 23 de junio de 2017, 16:43h

Escucha la noticia

Los investigadores de ESET han identificado una amenaza oculta en una sencilla aplicación utilizada para recordar cumpleaños de familiares y amigos llamada Birthday Reminder.

El adware DNSBirthday ha sido distribuido en todo el mundo pero ha tenido especial repercusión en EEUU, España, Japón e Italia

Este malware, detectado por las soluciones de ESET como DNSBirthday, podía ser utilizado por los ciberdelincuentes para conectarse a la DNS del usuario e inundar su dispositivo con anuncios no deseados.

El adware DNSBirthday ha sido distribuido en todo el mundo pero ha tenido especial repercusión en EEUU, España, Japón e Italia. La aplicación infectada era aparentemente inofensiva ya que el adware trabaja en segundo plano; la única señal de uso fraudulento la daban unos componentes que no se podían adquirir y que permitían activar funciones de DNS en los navegadores para mostrar anuncios en las webs visitadas por los usuarios.

En el proceso de análisis de la amenaza, los investigadores de ESET descubrieron que todas las comunicaciones estaban relacionadas con RQZTech. Los ciberdelincuentes que trabajan en este proyecto han desarrollado un 'gancho' capaz de enlazar a servidores DNS alternativos cuando detectan que un nombre de dominio determinado se encuentra en la “lista de bloqueo” del archivo de configuración.

Los creadores de este malware se han esforzado en evitar ser detectados”, explica Marc-Étienne M. Leveillé, investigador sénior de malware en ESET. “Su arquitectura modular permite actualizaciones y la inclusión de más funcionalidades o malware adicional, lo que implica que aún no hemos visto todas sus posibilidades. También es interesante observar que la comunicación con el servidor C&C está securizada por una clave pública fija que previene la interceptación de lo que está ocurriendo”.

Los investigadores de ESET han llegado hasta OVH, la compañía de hosting en la que los ciberdelincuentes albergaban el servidor C&C y las comunicaciones con el servidor DNS fraudulento. Ambos han sido ya eliminados gracias a la intervención de la compañía de software de seguridad.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios