5 feb 2016

Analizando Android Proxy Trojan Xoryp

Buenas a todos, en el post de hoy me gustaría hablaros del troyano Xoryp para Android, que desde 2013 lleva operando y que hasta hace algunos meses no ha empezado a ser detectado por la mayor parte de los fabricantes de antivirus.

La primera muestra fue subida a Virus Total el 9 de abril de 2013, momento en el cual era indetectable. Se trata de un caballo de troya clásico diseñado para sustraer datos de los smartphones con Android como mensajes, registro de llamadas, historial de navegación, ubicación GPS, SMS, Wi-Fi/3G, IMEI, cuentas del usuario, etc. Como veis es un troyano muy similar a Sandrorat/droidjack.  Como curiosidad, la información sustraída no la envía en tiempo real, sino que la almacena en un directorio en el que tenga permisos de escritura y la envía cada 30 minutos cuando la WiFi se encuentra activada, para evitar que sea detectado por un alto consumo de datos de Internet.

A continuación os compartimos los permisos solicitados por la aplicación. Como veis es fácil sospechar que se trata de un malware:
  • android.permission.CHANGE_NETWORK_STATE (change network connectivity)
  • android.permission.SEND_SMS (send SMS messages)
  • android.permission.DISABLE_KEYGUARD (disable key lock)
  • android.permission.READ_PHONE_STATE (read phone state and identity)
  • android.permission.ACCESS_WIFI_STATE (view Wi-Fi status)
  • android.permission.ACCESS_COARSE_LOCATION (coarse (network-based) location)
  • android.permission.WAKE_LOCK (prevent phone from sleeping)
  • android.permission.RECEIVE_SMS (receive SMS)
  • android.permission.INTERNET (full Internet access)
  • android.permission.ACCESS_NETWORK_STATE (view network status)
  • android.permission.WRITE_EXTERNAL_STORAGE (modify/delete SD card contents)
  • android.permission.READ_CONTACTS (read contact data)
  • android.permission.GET_ACCOUNTS (discover known accounts)
  • android.permission.READ_SMS (read SMS or MMS)
En el siguiente enlace podréis encontrar una muestra para analizar, alojada en Contagio Mobile:


Datos del APK:
  • SHA256: 00341bf1c048956223db2bc080bcf0e9fdf2b764780f85bca77d852010d0ec04
  • File name: com.studio.proxy.apk
A continuación os dejamos el listado de antivirus que detectan el malware a día de hoy y que podéis ver en este informe de Virus Total: 


AntivirusResultUpdate
AVGAndroid/Deng.BGE20151212
AVwareTrojan.AndroidOS.Generic.A20151212
Ad-AwareAndroid.Trojan.InfoStealer.FG20151212
AegisLabAgent20151212
AlibabaA.H.Pri.Dyndns20151208
Antiy-AVLTrojan[Spy:HEUR]/AndroidOS.Agent.af20151212
ArcabitAndroid.Trojan.InfoStealer.FG20151212
AvastAndroid:Agent-HTI [Trj]20151212
AviraANDROID/Spy.Xoryp.120151212
Baidu-InternationalTrojan.AndroidOS.Agent.fs20151212
BitDefenderAndroid.Trojan.InfoStealer.FG20151212
CAT-QuickHealAndroid.InfoStealer.E20151212
ComodoUnclassifiedMalware20151209
CyrenAndroidOS/SProxySpy.A.gen!Eldorado20151212
DrWebAndroid.Xoryp.1.origin20151212
ESET-NOD32Android/Spy.Xoryp.A20151212
EmsisoftAndroid.Trojan.InfoStealer.FG (B)20151212
F-SecureAndroid.Trojan.InfoStealer.FG20151211
FortinetAndroid/SpySmart.A!tr.spy20151212
GDataAndroid.Trojan.InfoStealer.FG20151212
IkarusTrojan-Proxy.AndroidOS.SmartSpy20151212
K7GWSpyware ( 004be72c1 )20151212
KasperskyHEUR:Trojan-Spy.AndroidOS.Agent.fs20151212
McAfeeArtemis!D05D3F57929520151212
MicroWorld-eScanAndroid.Trojan.InfoStealer.FG20151212
NANO-AntivirusTrojan.Android.Xoryp.drlfsv20151212
TencentDos.Trojan-spy.Agent.Woft20151212
VIPRETrojan.AndroidOS.Generic.A20151212
ZillyaTrojan.Xoryp..120151211
ZonerTrojan.AndroidOS.Agent.G20151212
Agnitum20151211
AhnLab-V320151211
Bkav20151212
ByteHero20151212
CMC20151211
ClamAV20151212
F-Prot20151212
Jiangmin20151211
K7AntiVirus20151212
Malwarebytes20151212
McAfee-GW-Edition20151212
Microsoft20151212
Panda20151212
Qihoo-36020151212
Rising20151211
SUPERAntiSpyware20151212
Symantec20151211
TheHacker20151211
TotalDefense20151212
TrendMicro20151212
TrendMicro-HouseCall20151212
VBA3220151211
ViRobot20151212
nProtect20151211
Hace unos meses fue publicado un interesante artículo sobre este malware en el blog de b0n1, el cual os recomiendo visitar si estáis interesados en este badware en particular:


Saludos!

No hay comentarios:

Publicar un comentario