Los investigadores de
Symantec han informado sobre la presencia de muestras de Sockbot en el catálogo
de Google Play. Sockbot es un malware capaz de registrar dispositivos en una
botnet y realizar ataques de denegación de servicios distribuídos.
El malware ha
conseguido disuadir los controles de seguridad de Google haciéndose pasar por
una aplicación legítima para modificar 'skins' de Minecraft.
Además de eso, el
código malicioso está ofuscado y sus 'strings' principales van cifradas, lo que
dificulta su detección.
Según Symantec la
infección se ha extendido ampliamente: alrededor de 2.6 millones de
dispositivos desde EEUU y Rusia hasta Brasil y Alemania.
El nombre del malware
ya deja adivinar lo que hace: Sockbot inicia un servicio proxy SOCKS en el
dispositivo infectado. De este modo el atacante puede enviar anuncios desde el
C&C y mostrarlos en los dispositivos infectados sin su consentimiento.
Aunque la funcionalidad principal de Sockbot es la de mostrar anuncios, un
atacante podría utilizar el mismo método para controlar un gran número de
dispositivos infectados y realizar ataques de denegación de servicio
distribuídos (DDoS).
Google ya ha retirado
las ocho aplicaciones que habían conseguido colarse en su market y tomado las
medidas oportunas contra su desarrollador 'FunBaster'.
Más información:
- Android malware on Google Play adds devices to botnet https://www.symantec.com/connect/blogs/android-malware-google-play-adds-devices-botnet-and-performs-ddos-attacks
- Información técnica sobre Android.Sockbot https://www.symantec.com/security_response/writeup.jsp?docid=2017-101314-1353-99
- DiskCryptor: https://diskcryptor.net/wiki/Main_Page
