Buenas a todos, en el post de hoy me gustaría hablaros del troyano Xoryp para Android, que desde 2013 lleva operando y que hasta hace algunos meses no ha empezado a ser detectado por la mayor parte de los fabricantes de antivirus.
La primera muestra fue subida a Virus Total el 9 de abril de 2013, momento en el cual era indetectable. Se trata de un caballo de troya clásico diseñado para sustraer datos de los smartphones con Android como mensajes, registro de llamadas, historial de navegación, ubicación GPS, SMS, Wi-Fi/3G, IMEI, cuentas del usuario, etc. Como veis es un troyano muy similar a Sandrorat/droidjack. Como curiosidad, la información sustraída no la envía en tiempo real, sino que la almacena en un directorio en el que tenga permisos de escritura y la envía cada 30 minutos cuando la WiFi se encuentra activada, para evitar que sea detectado por un alto consumo de datos de Internet.
A continuación os compartimos los permisos solicitados por la aplicación. Como veis es fácil sospechar que se trata de un malware:
- android.permission.CHANGE_NETWORK_STATE (change network connectivity)
- android.permission.SEND_SMS (send SMS messages)
- android.permission.DISABLE_KEYGUARD (disable key lock)
- android.permission.READ_PHONE_STATE (read phone state and identity)
- android.permission.ACCESS_WIFI_STATE (view Wi-Fi status)
- android.permission.ACCESS_COARSE_LOCATION (coarse (network-based) location)
- android.permission.WAKE_LOCK (prevent phone from sleeping)
- android.permission.RECEIVE_SMS (receive SMS)
- android.permission.INTERNET (full Internet access)
- android.permission.ACCESS_NETWORK_STATE (view network status)
- android.permission.WRITE_EXTERNAL_STORAGE (modify/delete SD card contents)
- android.permission.READ_CONTACTS (read contact data)
- android.permission.GET_ACCOUNTS (discover known accounts)
- android.permission.READ_SMS (read SMS or MMS)
En el siguiente enlace podréis encontrar una muestra para analizar, alojada en Contagio Mobile:
Datos del APK:
- SHA256: 00341bf1c048956223db2bc080bcf0e9fdf2b764780f85bca77d852010d0ec04
- File name: com.studio.proxy.apk
A continuación os dejamos el listado de antivirus que detectan el malware a día de hoy y que podéis ver en este informe de Virus Total:
Antivirus | Result | Update |
---|---|---|
AVG | Android/Deng.BGE | 20151212 |
AVware | Trojan.AndroidOS.Generic.A | 20151212 |
Ad-Aware | Android.Trojan.InfoStealer.FG | 20151212 |
AegisLab | Agent | 20151212 |
Alibaba | A.H.Pri.Dyndns | 20151208 |
Antiy-AVL | Trojan[Spy:HEUR]/AndroidOS.Agent.af | 20151212 |
Arcabit | Android.Trojan.InfoStealer.FG | 20151212 |
Avast | Android:Agent-HTI [Trj] | 20151212 |
Avira | ANDROID/Spy.Xoryp.1 | 20151212 |
Baidu-International | Trojan.AndroidOS.Agent.fs | 20151212 |
BitDefender | Android.Trojan.InfoStealer.FG | 20151212 |
CAT-QuickHeal | Android.InfoStealer.E | 20151212 |
Comodo | UnclassifiedMalware | 20151209 |
Cyren | AndroidOS/SProxySpy.A.gen!Eldorado | 20151212 |
DrWeb | Android.Xoryp.1.origin | 20151212 |
ESET-NOD32 | Android/Spy.Xoryp.A | 20151212 |
Emsisoft | Android.Trojan.InfoStealer.FG (B) | 20151212 |
F-Secure | Android.Trojan.InfoStealer.FG | 20151211 |
Fortinet | Android/SpySmart.A!tr.spy | 20151212 |
GData | Android.Trojan.InfoStealer.FG | 20151212 |
Ikarus | Trojan-Proxy.AndroidOS.SmartSpy | 20151212 |
K7GW | Spyware ( 004be72c1 ) | 20151212 |
Kaspersky | HEUR:Trojan-Spy.AndroidOS.Agent.fs | 20151212 |
McAfee | Artemis!D05D3F579295 | 20151212 |
MicroWorld-eScan | Android.Trojan.InfoStealer.FG | 20151212 |
NANO-Antivirus | Trojan.Android.Xoryp.drlfsv | 20151212 |
Tencent | Dos.Trojan-spy.Agent.Woft | 20151212 |
VIPRE | Trojan.AndroidOS.Generic.A | 20151212 |
Zillya | Trojan.Xoryp..1 | 20151211 |
Zoner | Trojan.AndroidOS.Agent.G | 20151212 |
Agnitum | 20151211 | |
AhnLab-V3 | 20151211 | |
Bkav | 20151212 | |
ByteHero | 20151212 | |
CMC | 20151211 | |
ClamAV | 20151212 | |
F-Prot | 20151212 | |
Jiangmin | 20151211 | |
K7AntiVirus | 20151212 | |
Malwarebytes | 20151212 | |
McAfee-GW-Edition | 20151212 | |
Microsoft | 20151212 | |
Panda | 20151212 | |
Qihoo-360 | 20151212 | |
Rising | 20151211 | |
SUPERAntiSpyware | 20151212 | |
Symantec | 20151211 | |
TheHacker | 20151211 | |
TotalDefense | 20151212 | |
TrendMicro | 20151212 | |
TrendMicro-HouseCall | 20151212 | |
VBA32 | 20151211 | |
ViRobot | 20151212 | |
nProtect | 20151211 |
Hace unos meses fue publicado un interesante artículo sobre este malware en el blog de b0n1, el cual os recomiendo visitar si estáis interesados en este badware en particular:
Saludos!
No hay comentarios:
Publicar un comentario