El troyano
Backdoor.AndroidOS.Torec.a utiliza la red The Onion Router para enviar sus
datos.
TOR (The Onion Router) es una red de comunicaciones de baja latencia
que, superpuesta sobre Internet, permite actuar sin dejar rastro, manteniendo
en el anonimato la dirección IP y la información que viaja por ella.
“El objetivo de esta red tiene muchas ventajas para los usuarios. TOR
permite que millones de personas en todo el mundo puedan utilizar y expresarse
de manera libre en la red sin dejar huellas”, escribe Kaspersky en un
comunicado, agregando que “sin embargo, este tipo de software libre en las
manos equivocadas puede generar riesgos de seguridad muy importantes”. En
septiembre de 2013, una investigación de la Universidad de Luxemburgo concluyó
que aunque TOR ha sido elogiado por fomentar la libertad de expresión y
combatir la censura en regímenes totalitarios, es discutible en qué medida el
servicio está siendo utilizado para fines idealistas. Según el estudio, el 44%
de los contenidos de Tor apunta a servicios relacionados con drogas,
pornografía, explotación sexual de menores, armas, y venta de falsificaciones,
tarjetas de crédito robadas, información de cuentas bancarias y otros productos
de la categoría “falsificaciones”. Entre las demás categorías, “política” y
“anonimato” figuran entre las mayores, con el 9% y 8%, respectivamente. Estos
apartados incluyen servicios dedicados a la discusión o filtración de temas
relacionados con la corrupción, represión, libertad de expresión y servicios de
anonimato. Es decir, a pesar de ser presentada como herramienta de protección
de disidentes y filtradores, el uso “libertario” dado a Tor es mínimo.
En su nota, Kaspersky agrega que existen varios troyanos que utilizan la
red TOR pero nunca se había visto uno para el sistema operativo de Google. “Los
cibercriminales han utilizado como plantilla los archivos maliciosos basado en
Windows que utilizan la red de TOR para crear este malware para Android”,
agrega la empresa.
Torec.a está basado en Orbot, una plataforma de código abierto del
cliente TOR para Android, y utiliza un dominio .onion como un C&C para
enviar sus comandos.
A través de este troyano los cibercriminales pueden realizar las
siguientes acciones desde el C&C:
- Iniciar/detener la interceptación entrante de SMS
- Robo de SMS salientes
- Realizar una petición USSD
- Enviar datos de los teléfonos móviles (número de teléfono, país, IMEI, modelo, versión del sistema operativo) al C&C.
- Enviar al C&C una lista de las aplicaciones instaladas en el dispositivo móvil
- Enviar SMS a un número específico
Fuente: Diario TI