Una nueva familia de spyware para Android llamada BusyGasper, que es distribuida por actores desconocidos que contienen un único implante espía con características sobresalientes, como detectores de sensores de dispositivos, detectores de movimiento.
Aparte de esto, BusyGasper es capaz de extraer datos de aplicaciones de mensajería como WhatsApp, Viber, Facebook junto con capacidades de captura de teclas.
Se comunica a través de un servidor FTP para descargar la carga útil o las actualizaciones usando el servidor de C & C y una nueva indicación revela que un servicio de alojamiento web ruso Ucoz proporcionó acceso al servidor FTP.
Este malware actúa desde 2016 y los atacantes usan el acceso físico a las víctimas de la orientación e instalan este malware y atacan principalmente a las víctimas de Rusia.
En este caso, un análisis posterior revela que varios archivos TXT con comandos en el servidor FTP del atacante contienen un identificador de víctima.
Además, el foco principal de los atacantes en los dispositivos Asus y una información recopilada de la cuenta de correo electrónico proporciona una gran cantidad de datos personales de las víctimas, incluidos los mensajes de las aplicaciones de IM.
Basado en este análisis de spyware BusyGasper, diseñado con falta de encriptación, el uso de un servidor FTP público y el nivel bajo de ops, indica que hay menos desarrolladores de malware de habilidades detrás de este ataque.
Función de trabajo de Spyware BusyGasper
Ataque Inicialmente instale el primer módulo en el dispositivo víctima de destino que controla el protocolo IRC y permite la implementación de otros componentes.
No hay evidencia de que los atacantes usen ningún exploit para obtener privilegios de root, por lo que los investigadores creen que los atacantes usaron algún componente no visto para obtener los privilegios adicionales.
El segundo módulo roba el archivo de registro que luego se cargará en el servidor FTP y se enviará a la bandeja de entrada del atacante incluso para enviar mensajes de registro por SMS al número del atacante.
Más tarde, el ataque instalando el keylogger y el oyente pueden operar solo con coordenadas, por lo que calcula los caracteres presionados al hacer coincidir los valores dados con los codificados.
Según Kaspersky, hay un menú oculto (Actividad) para controlar las características del implante que parece que fue creado para el control manual del operador. Para activar este menú, el operador necesita llamar al número codificado "9909" desde el dispositivo infectado.
Finalmente atacante usando ftp://213.174.157[.]151/ como un servidor de comando y control para compartir los datos robados.
Fecha actualización el 2021-09-01. Fecha publicación el 2018-09-01. Categoría: malware. Autor: Oscar olg Mapa del sitio Fuente: gbhackers