Evoluciona malware para Android y ataques con URL acortadas

En octubre, los laboratorios FortiGuard de Fortinet observaron el desarrollo continuo del nuevo código malicioso DroidKungFu, que se ha visto tiene múltiples variantes y se comporta como malware que se encuentra en las PC de hoy en día.

 

"DroidKungFu claramente representa la siguiente evolución del malware móvil", dijo Derek Manky, estratega senior de seguridad de Fortinet. "Cuando los primeros intentos del malware para Android, tales como el Zeus en el móvil (Zitmo), son capaces de interceptar el tipo de autenticación de dos factores que los bancos utilizan para validar la identidad del titular de la cuenta a la hora de iniciar una sesión, DroidKungFu hace mucho más. Al aparentar ser una aplicación legítima de cliente VPN, el malware rápidamente consigue acceso a la raíz del dispositivo usando la ingeniería social. Una vez ejecutado, DroidKungFu tiene la posibilidad de descargar más malware, URLs abiertas en un navegador, iniciar programas e inclusive borrar archivos del sistema."

 

Por otro lado, Fortinet destaca que la debilidad de los servicios de acortamiento de URL es que permite a los delincuentes ocultar enlaces maliciosos que pueden infectar el sistema del usuario. Históricamente, Fortinet ha recomendado siempre que los usuarios coloquen el cursor sobre un URL dudoso antes de hacer clic en él para verificar si efectivamente ese vínculo se dirige a una página dudosa. Esta medida de seguridad no se aplica a las direcciones URL acortadas. No hay forma segura de saber de antemano cuando un usuario hace clic en una URL acortada y si están a punto de ser redirigidos a un sitio malicioso.

 

"Los avances en las técnicas antispam están detectando la mayoría del malware con enlace acortado de la actualidad", continuó Manky. "Sin embargo, ahora estamos empezando a ver que los creadores de software malicioso crean sus propios servicios de acortamiento de URL para eludir la tecnología de detección de spam más reciente. Éste es otro ejemplo de la delincuencia como un servicio (CaaS, por sus siglas en inglés) que los criminales cibernéticos ofrecen. "

 

Una manera de determinar si una URL acortada apunta a un sitio malicioso es mirar el dominio al final del enlace. La mayoría de los servicios de acortamiento de URL maliciosas han sido recientemente vistos utilizando el dominio .info. Otra forma de saber si un URL acortado se redirige a un sitio malicioso es pegar el enlace dudoso en una herramienta de filtrado de URL, como URL Lookup de Fortinet.  Finalmente, advierte la firma de seguridad,  contar con una solución de filtrado Web adecuada ayuda a proteger contra los servicios de acortamiento de URL ya que se revisa y resuelve el dominio completo.